图 1. 初始妥协阶段日志

之后，执行的后门恶意软件很可能会创建 wsmprovhost.exe 并执行额外的 DLL Side-Loading 负载。怀疑使用 DLL Side-Loading 技术的理由在于，在受感染的 PC 中创建 wsmprovhost.exe 的文件夹路径中发现了一个名为“mi.dll”的额外恶意 DLL。以下是与wsmprovhost.exe同路径的mi.dll的文件路径信息。

C:\ProgramData\Microsoft\IdentityCRL\mi.dllC:\ProgramData\Microsoft\IdentityCRL\wsmprovhost.exeC:\ProgramData\USOShared\mi.dllC:\ProgramData\USOShared\wsmprovhost.exeC:\ProgramData\midassoft\mi.dllC:\ProgramData\midassoft\wsmprovhost.exe

图 2. mi.dll 文件路径信息（ASD 下）

mi.dll 是 wsmprovhost.exe 引用的 DLL（参见图 3）。因此，当 wsmprovhost.exe 运行时，mi.dll 被加载到相应的进程内存中。

图 3. wsmprovhost.exe (mi.dll) 引用的 DLL

mi.dll 是一个普通的 MS 文件，存在于路径“c:\windows\system32”中，但这次攻击中使用的 mi.dll 不是在 Windows 系统路径中，而是在 wsmprovhost.exe 旁边的另一个路径中。攻击者将恶意软件包含在 BugTrap 项目源代码（github 上的一个开源代码）中，以“mi.dll”的名义分发它。

图 4. mi.dll 的模块信息（滥用开源 BugTrap）

在 wsmprovhost.exe 的进程内存中执行的恶意 mi.dll 包含一个额外的内部使用 AES-128 算法加密的二进制文件，并且在执行的那一刻，它使用通过参数传输的解密密钥对之前的二进制文件进行解密在内存中运行额外的恶意软件。

还发现 Lazarus 组织不仅通过 wsmprovhost.exe 执行恶意软件，而且还通过其他正常的 Windows 程序（例如 dfrgui.exe）执行恶意软件。使用运行在正常进程内存区域的DLL进行恶意行为被认为是企图绕过安全软件的行为检测。

最近，Lazarus 集团一直在使用各种攻击方法，不仅使用 rootkit 禁用安全软件，还使用本报告中所示的正常应用软件进行恶意行为，以实现其攻击目标。AhnLab 正在密切关注和响应该组织的攻击方法，并使用以下别名检测当前的攻击类型。

[IOC]

[Filename, MD5, Detection Name)– SCSKAppLink.dll (0cc73994988e8dce2a2eeab7bd410fad) Trojan/Win.Lazardoor.C5266363 (2022.09.30.03)– mi.dll (54b0454163b25a38368e518e1687de5b) – Trojan/Win.LazarLoader.C5226517 (2022.08.22.02)– dfgui.exe (9caebeda61018e86a29c291225f0319f) – 普通 MS 文件– wsmprovhost.exe (ff46decb93c6d676a37e87de57bae196) – 普通 MS 文件

[行为检测]

– InitialAccess/MDP.Event.M4242 (2022.09.21.00)