فريق المخترقين lazarus من شمال كوريا يهاجم من جديد شركة برمجيات

مقدمة

السلام عليكم و رحمة الله و بركاته بسم الله و الصلاة و السلام على رسول الله محمد صلى الله عليه و سلم كيف حالك يا صديقي قام الفريق الكوري lazarus بهجوم جديد كجزء من سلسلة قام بها في هذا العام مستغلا ثغرات معلن عنها مسبقا من الشركات و لكن للأسف لم تقم الشركة المستهدفه من عمل الupdates و الpatches الموصى بها و لقد استغلوا ايضا برنامج تابع لشركة قاموا مسبقا باختراقها و كان هذا منذ منتصف عام 2022

مختصر عن الهجوم

قام الفريق الكوري lazarus بهجوم في منتصف 2022 على شركة برمحيات و تكرر الهجوم مره اخرى على نفس الشركه في اوائل 2023 و استغلوا الثغرات في هذه الشركه بإيصال الهجوم الخاص بهم لشركة برمجيات اخرى تستخدم المنتج الذي تقدمه الشركة الاولى و المشترك في كل هذا استخدام malware SIGNBT  و لقد رأينا في هذا الهجوم أيضا استخدام ل LPEClient و من المتوقع أن الهجوم كان الغرض منه سرقة الكود المصدري (source code)أو العبث بسلسلة إمداد البرنامج (software supply chain) و كان السبب في هذا الهجوم هو استغلالهم لثغرات في برامج مستخدمه لدى الشركة المستهدفة و هذه الثغرات مكتشفه من قبل و تم الإعلام بأهمية تحديثها و لكنهم لم يقوموا بالتحديث وعمل patching لها

تفصيل لعملية الاختراق

قام الفريق الكوري lazarus باستهداف أولا شركة برمجيات و كان هذا عن طريق موجتين من الهجوم بداية من منتصف 2022 الى اوائل 2023 و منها استطاعوا استغلال الثغرات لاختراق شركتنا اليوم و هي شركة تقوم ببرمجة تطبيق لتشفير الاتصال على الشبكة و كان هذا الهجوم باستخدام الSIGNBT و طريقة الدخوله الاولى مازالت غير معلومه و لكن تم اكتشاف انهم استخدموا SIGNBT ليضمن لهم الاستمرارية و البقاء في الاجهزة و القيام بمهام يقوم بها الBACKDOOR و منها استخدموه ليوصل LPEClient للضحية مع كون انه تم استخدامه مسبقا في عدة هجمات من هذا الفريق التي استهدفت مهندسين بعينهم في مجال الطاقه النوويه و اخرين في مجال الأسلحة و مجلات العملات الرقمية

و ايضا قاموا بتطوير اشياء على الLPEClient ليتخطي أجهزة الدفاع و الاكتشاف

الرحلة من SIGBNT إلى LPEClient في الهجوم :

نجد انهم يقومون باستخدام وسائل مختلفه لضمان استمراية وجودهم منها انهم يقومون بوضع ملف ualapi.dll في ملف الsystem و يتم تشغيله تلقائيا كلما تم تشغيل الجهاز باستخدام الspoolsv.exe و بضع الوسائل الأخرى موضحة هنا

نجد أنهم استخدموا اسلوب ليس جديد عليهم و هو ان يزرعوا بضع الfunctions  الخبيثة في ملف معروف مفتوح المصدر و نتكلم هنا يا صديقي عن ualapi.dll و الذي استخدموا فيه shareaza  و نجد أنه يقوم اولا بالتعرف على الضحية فإن كان هذا جهاز الضحية الذي يريدها يكمل عمله و هذا بعمل مقارنة مع الmachine guid الذي يقوم باستخراجه من الregistry keys مع القيمه المخزنه بداخله يقوم بتحديد التسلسل 43 EB 8C BD 1D 98 3D 14 ثم يقرأ الDWORD مباشرة ثم يقوم بعملية تحميل الSIGNBT على جهاز الضحية و يقوم بتحميل بيانات هامه لعمله منها عناوين ثلاث خوادم للC2 و فترات سكونه و معلومات عن الأهداف و غيرها و نجده يتواصل مع الC2 باستخدام مجموعه من الاوامر المميزة الخاصة به و هي

ثم بعد ذك يقوم بعمل قيمة مكونة من 24BIT- التي يستخدمها بعد ذلك في العديد من الاشياء اهمها التواصل مع الC2 بطريقة مشفرة لتجعله من الصعب تحليل الاتصال بينه و بين الC2

ثم ييرد عليه الC2 بطريقه مشفره ايضا ثم بعد ذلك نجده يتم إرسال الأوامر للSIGNBT و منها الfunctions التي سيستخدمها و التي مشابهه للاموامر المعتاده على الcli و هي كالاتي

ثم بعد ذلك يقوم بتحميل LPEClient عند الضحية و غيرها من الادوات الاخرى

و للإختصار هذا توضيح لعملية الاتصال

و نجد الLPEClient تم استخدامه في مرات اخرى من نفس الفريق

نبذة عن الـ IOC

SIGNBT loader

9cd90dff2d9d56654dbecdcd409e1ef3         %system%\ualapi.dll

88a96f8730b35c7406d57f23bbba734d        %system%\ualapi.dll

54df2984e833ba2854de670cce43b823       %system%\ualapi.dll

Ae00b0f490b122ebab614d98bb2361f7          %system%\ualapi.dll

e6fa116ef2705ecf9677021e5e2f691e

31af3e7fff79bc48a99b8679ea74b589           C:\GoogleD\Coding\JS\Node\winhttp.dll

SIGNBT

9b62352851c9f82157d1d7fcafeb49d3

LPEClient

3a77b5054c36e6812f07366fb70b007d       %systme%\wbem\wbemcomn.dll

E89fa6345d06da32f9c8786b65111928 %ProgramData%\Microsoft\Windows\ServiceSetting\ESENT.dll

File path

C:\GoogleD\Coding\JS\Node\SgrmLpac.exe

C:\GoogleD\Coding\JS\Node\winhttp.dll

C:\Windows\system32\config\systemprofile\appdata\Local\tw-100a-a00-e14d9.tmp

C:\Windows\system32\config\systemprofile\appdata\Local\tw-100b-a00-e14d9.tmp

C:\ProgramData\ntuser.008.dat

C:\ProgramData\ntuser.009.dat

C:\ProgramData\ntuser.001.dat

C:\ProgramData\ntuser.002.dat

C:\ProgramData\Microsoft\Windows\ServiceSetting\ESENT.dll

C2 servers

hxxp://ictm[.]or[.]kr/UPLOAD_file/board/free/edit/index[.]php

hxxp://samwoosystem[.]co[.]kr/board/list/write[.]asp

hxxp://theorigin[.]co[.]kr:443/admin/management/index[.]php

hxxp://ucware[.]net/skins/PHPMailer-master/index[.]php

hxxp://www[.]friendmc[.]com/upload/board/asp20062107[.]asp

hxxp://www[.]hankooktop[.]com/ko/company/info[.]asp

hxxp://www[.]khmcpharm[.]com/Lib/Modules/HtmlEditor/Util/read[.]cer

hxxp://www[.]vietjetairkorea[.]com/INFO/info[.]asp

hxxp://yoohannet[.]kr/min/tmp/process/proc[.]php

hxxps://admin[.]esangedu[.]kr/XPaySample/submit[.]php

hxxps://api[.]shw[.]kr/login_admin/member/login_fail[.]php

hxxps://hicar[.]kalo[.]kr/data/rental/Coupon/include/inc[.]asp

hxxps://hspje[.]com:80/menu6/teacher_qna[.]asp

hxxps://kscmfs[.]or[.]kr/member/handle/log_proc[.]php

hxxps://kstr[.]radiology[.]or[.]kr/upload/schedule/29431_1687715624[.]inc

hxxps://little-pet[.]com/web/board/skin/default/read[.]php

hxxps://mainbiz[.]or[.]kr/SmartEditor2/photo_uploader/popup/edit[.]asp

hxxps://mainbiz[.]or[.]kr/include/common[.]asp

hxxps://new-q-cells[.]com/upload/newsletter/cn/frame[.]php

hxxps://pediatrics[.]or[.]kr/PubReader/build_css[.]php

hxxps://pms[.]nninc[.]co[.]kr/app/content/board/inc_list[.]asp

hxxps://safemotors[.]co[.]kr/daumeditor/pages/template/template[.]asp

hxxps://swt-keystonevalve[.]com/data/editor/index[.]php

hxxps://vnfmal2022[.]com/niabbs5/upload/gongji/index[.]php

hxxps://warevalley[.]com/en/common/include/page_tab[.]asp

hxxps://www[.]blastedlevels[.]com/levels4SqR8/measure[.]asp

hxxps://www[.]droof[.]kr/Board/htmlEdit/PopupWin/Editor[.]asp

hxxps://www[.]friendmc[.]com:80/upload/board/asp20062107[.]asp

hxxps://www[.]hanlasangjo[.]com/editor/pages/page[.]asp

hxxps://www[.]happinesscc[.]com/mobile/include/func[.]asp

hxxps://www[.]healthpro[.]or[.]kr/upload/naver_editor/subview/view[.]inc

hxxps://www[.]medric[.]or[.]kr/Controls/Board/certificate[.]cer

hxxps://www[.]muijae[.]com/daumeditor/pages/template/simple[.]asp

hxxps://www[.]muijae[.]com/daumeditor/pages/template/template[.]asp

hxxps://www[.]nonstopexpress[.]com/community/include/index[.]asp

hxxps://www[.]seoulanesthesia[.]or[.]kr/mail/mail_211230[.]html

hxxps://www[.]seouldementia[.]or[.]kr/_manage/inc/bbs/jiyeuk1_ok[.]asp

hxxps://www[.]siriuskorea[.]co[.]kr/mall/community/bbs_read[.]asp

hxxps://yoohannet[.]kr/min/tmp/process/proc[.]php

أساليب MITRE ATT&CK المستخدمة:

خاتمة

و هكذا يا صديقي طوفنا حول الخبر و ملابساته و تعلمنا بعض الأشياء التقنية أسأل الله أن تنفعك إن وفقت فمن الله و إن أخفقت فمن عملي و عمل الشيطان نعوذ بالله من الشيطان الرجيم و أذكركم بالدعاء لإخوانكم في فلسطين و تعلم القضيه و أنها عقيدة و دين و ليست مسألة أرض و حدود و تذكرلا تتهاون او تخف أبدا من نصرة إخوانك قال رسول الله صلى الله عليه و سلم : إنَّ المُؤْمِنَ لِلْمُؤْمِنِ كَالْبُنْيَانِ يَشُدُّ بَعْضُهُ بَعْضًا. وشَبَّكَ أصَابِعَهُ. الراوي : أبو موسى الأشعري | المحدث : البخاري | المصدر : صحيح البخاري الصفحة أو الرقم: 481 | خلاصة حكم المحدث : [صحيح] و أنصحك بأن تفكر هل الحياة مجرد لعبة ؟ مالغرض من هذه الحياة ؟ إنها رحلة عليك أن تسأل من وضعني في هذه الرحله و لماذا انا هنا و إلى أين تتجه رحلتي ؟ و الوجهه تعتمد عليك و من وضعك فهو خالقك سبحانك خلقك في هذه الحياة و لماذا ؟ أجاب سبحانه في القران الكريم كلامه بصوت و حرف و ليس كمثله شئ و هو السميع البصير قال وَمَا خَلَقْتُ الْجِنَّ وَالْإِنسَ إِلَّا لِيَعْبُدُونِ

المصادر

A cascade of compromise: unveiling Lazarus’ new campaign

N. Korean Lazarus Group Targets Software Vendor Using Known Flaws