Telsy ha analizzato nuovi campioni relativi al threat actor Lazarus Group e in particolare all’’Operazione AppleJeus’.

Introduzione

Sebbene alcuni dettagli siano cambiati, i metodi utilizzati nello schema attuale sembrano molto simili a come funzionava “AppleJeus” in precedenza. Entrambi utilizzano applicazioni di cryptotrading legittime ed entrambi hanno un programma secondario che è il componente malware.

Il gruppo di hacker ha rilasciato una versione trojanizzata dell’applicazione legittima di cryptotrading “QtBitcoinTrader” anche se a differenza delle operazioni precedenti le varie fasi dell’infezione risiedevano tutte all’interno del pacchetto MSI.

Il pacchetto MSI incorpora una libreria dannosa, uno shellcode e ha un tasso di rilevamento molto basso su Virustotal.  Inoltre, il programma di installazione dopo aver rilasciato il suo contenuto nella directory “%appdata%/QtBitcoinTrader” copia l’eseguibile legittimo denominato “CertEnrollCtrl.exe” nella stessa directory e quindi lo pianifica come attività.

La libreria dannosa, “dsparse.dll” viene caricata sfruttando la tecnica del ‘DLL Side-Loading’, infatti viene caricata dal processo ‘CertEnrollCtrl.exe’. La libreria legittima ‘dsparse.dll’, come da descrizione dei metadati, implementa l’API per i servizi di Active Directory. Lo scopo della libreria è caricare in memoria uno shellcode che esegua un eseguibile incorporato, ovvero la backdoor finale.

La backdoor implementa molti comandi e un protocollo di comunicazione ben definito basato su HTTP su TLS al dominio “digitalguarder.com”.

Il dominio ‘digitalguarder.com’, risolto con IP 198.54.121.240, ha un certificato SSL Sectigo legittimamente firmato, del tipo ‘Domain Control Validated’ simile ai certificati di dominio per le precedenti varianti ‘AppleJeus’ e l’indirizzo IP 198.54.121.240 risiede sulla stessa ASN 22612.

Leggi il report completo a questo link

A questo link gli ultimi articoli del blog di Telsy