疑似APT-C-26(Lazarus)组织升级监控程序的攻击行动分析

admin 2026-07-16 04:19:19 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 360威胁情报中心分析发现APT-C-26(Lazarus)组织升级其监控程序,新增键盘记录能力组件。该组件采用三种冗余方式捕获按键,包括原始输入、键盘钩子和异步轮询,并具备看门狗功能确保持续运行。监控日志通过加密通道发送至C2服务器,标志着该组织监控工具链已从远程控制升级为操作行为与屏幕内容双重情报采集平台。 综合评分: 88 文章分类: 威胁情报,恶意软件,漏洞分析,实战经验


cover_image

疑似APT-C-26(Lazarus)组织升级监控程序的攻击行动分析

高级威胁研究院 高级威胁研究院

360威胁情报中心

2026年7月15日 17:35 北京

在小说阅读器读本章

去阅读

APT-C-26

Lazarus

APT-C-26(Lazarus)组织是一个高度活跃的APT组织。该组织除了对金融机构和加密货币交易所感兴趣外,也对全球的政府机构、航空航天、军工等不同行业开展攻击活动,主要目的是获取资金和窃取敏感信息等。其攻击方式主要包括网络钓鱼、网络攻击和勒索软件攻击,并且它们的攻击行为具有高度的技术复杂性和隐蔽性,也具备Windows、Linux、MacOS系统攻击能力,以及拥有多种攻击载荷武器。

一、概述

以往[1],在调查过程中我们曾捕获到该组织使用的一款功能完备的定制化监控程序,其具备完整的远程桌面控制能力。此次,我们进一步补充发现该程序新增了键盘记录能力组件。

二、攻击活动分析

1.攻击流程分析

在攻击流程中,该组织的各类组件协同工作,不仅构建起隐蔽的远程桌面环境,还进一步整合了键盘记录能力,形成一个综合性的监控与控制平台。这为攻击者提供了对受控主机进行多维度、持续性的监视与控制能力,显著增强了其数据窃取和情报收集的效率。

图 1 攻击流程图

2.键盘监控组件分析

| | | | — | — | | MD5 | 304F2CA41006333650C80DC82EE3CA88 | | 文件名 | KKernel.exe | | 文件大小 | 363.00 KB | | 文件类型 | Win64 EXE |

该样本支持5种运行模式。

| | | | — | — | | 命令 | 功能 | | –agent | 用户会话代理模式:启动键盘记录三级级联 + 持久化 | | –install | 安装为 Windows 服务 KKernelService(开机自启) | | –uninstall | 卸载 Windows 服务 | | –start | 手动启动已安装的服务 | | 无参数 | 作为服务运行 |

样本首先使用—install模式,将当前进程模块注册为系统服务 “KKernelService”(显示名 “Kernel32 Service”),实现开机自启。服务注册后每次系统启动都会自动运行该恶意软件。伪装名 “KKernelService”/”Kernel32 Service” 试图冒充 Windows 内核组件以逃避用户注意。

图 2 注册为服务

在注册服务后,样本实现了Session 0逃逸看门狗功能,负责在用户交互会话中启动并持续监控一个Agent进程。服务通过获取活动用户会话的令牌,以用户权限在目标会话中启动代理进程,并通过循环监控其状态。若代理进程意外终止,看门狗将自动重启该进程,确保其持续运行。

图 3 看门狗功能

Agent进程主要实现了键盘监控功能,并创建了名为”Global\KKernelAgentSingleton”的互斥体。

图 4 Agent进程功能

Agent 进程启动后,实现键盘记录相关API动态解析。随后使用三种方式进行键盘监控。

图 5 API动态解析

方式1基于原始输入(Raw Input)方式捕获按键。该函数创建一个隐藏窗口并注册原始输入设备,通过系统底层接口直接获取键盘输入。在消息循环中,它持续记录按键内容并按句子粒度写入日志文件,同时跟踪前台窗口标题以标注输入所属的应用程序。若因权限不足等原因导致原始输入注册失败,该函数会自动回退至下一级 Windows 消息钩子方案继续执行,确保键盘记录不被中断。

图 6 通过原始输入方式捕获按键

方式2通过安装全局低级键盘钩子来捕获按键,该方式在消息循环中持续接收键盘事件,将按键内容按句子粒度缓存,并设置约 2 秒的超时阈值——若超时未继续输入,则将当前句子连同前台窗口信息一并写入日志文件。若钩子注册失败,函数返回失败标志,自动切换至第三种方案。

图 7 通过键盘钩子捕获按键

方式3键盘记录三级级联中的最终兜底方案,使用异步轮询方式以约 10 毫秒间隔轮询全部 256 个虚拟键状态来捕获按键。同步监控前台窗口标题和进程名变化,将按键内容按句子粒度缓存,并在约 500 毫秒无输入超时后自动写入日志文件。

图 8 通过异步轮询方式捕获按键

其中,按键监控及调试日志均存放于C:\ProgramData\Windows\WMI\Temp\目录,分别是sentences.txt和debug.log文件。

前两种方式设置了新的线程以约 30 秒为周期运行。每个周期中,它依次读取 sentences.txt(键盘监控日志)和 debug.log(调试日志)两个文件,将新增内容按行批量拼接后,发送至 C2 服务器,并在传输成功后截断对应文件以释放磁盘空间。

图 9 传输线程

其中,样本将信息发送到上一篇文章提到的设定的地址。

图 10 信息发送地址

总结

本次对键盘监控组件的深度分析表明,该恶意模块并非简单功能叠加,而是一个高度工程化、多层冗余设计的隐蔽监控子系统。结合前文分析,这标志着Lazarus组织的监控工具链已从单一的“远程控制”升级为“操作行为+屏幕内容”的双重情报采集平台。其不仅能窃取明文密码和内部指令,更能通过上下文关联精准定位敏感数据。后续我们将持续追踪其在加密货币领域的渗透动向,及时预警相关风险。

附录 IOC

350623d317587b0a21caa2d0f92af6b0

2E0C9085612944899519F8DDC71F48D9

304F2CA41006333650C80DC82EE3CA88

453F2DE79F5B4BED8D47AAEC2D1941F9

参考链接

[1].https://mp.weixin.qq.com/s/YzDg8MXiV6FhsiF7HWth4A

360高级威胁研究院

360高级威胁研究院是360数字安全集团的核心能力支持部门,由360资深安全专家组成,专注于高级威胁的发现、防御、处置和研究,曾在全球范围内率先捕获双杀、双星、噩梦公式等多起业界知名的0day在野攻击,独家披露多个国家级APT组织的高级行动,赢得业内外的广泛认可,为360保障国家网络安全提供有力支撑。


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:360威胁情报中心 高级威胁研究院 高级威胁研究院《疑似APT-C-26(Lazarus)组织升级监控程序的攻击行动分析》

评论:0   参与:  0