点击蓝字关注我们
一
事件背景
APT37组织又名Group123、InkySquid、Operation Daybreak、Operation Erebus、Reaper Group、Red Eyes、ScarCruft、Venus 121。该组织至少从2012年开始活跃,主要针对韩国的公共和私营部门。2017年,APT37将其目标扩展到朝鲜半岛之外,包括日本、越南和中东,并扩展到更广泛的垂直行业,包括化学、电子、制造、航空航天、汽车和医疗保健实体。2023年,APT37组织开始针对国内用户进行网络钓鱼,涉及Windows和Android平台。
近日,安恒信息猎影实验室在日常威胁狩猎中发现,APT37组织使用ISO文件针对韩国外交部门进行窃密。其初始攻击负载包含两个有大量无效数据填充的LNK文件,运行后在本机释放HWP诱饵文件及BAT文件,执行Powershell指令下载后续负载,最终解密RokRAT,与合法云服务pCloud通信,下发恶意指令执行。
二
样本信息
此次捕获样本信息如下:
文件Hash |
2cd04d9e11c6e458ec16db1ab810d625 |
上传地区 |
KR韩国 |
首次上传 |
2023-04-03 12:47:17 UTC |
文件格式 |
ISO image |
文件大小 |
59.41 MB (62300160 bytes) |
三
详细分析
原始样本为ISO文件,该文件包含两个有大量无效数据填充的LNK文件,不同名的LNK文件运行后释放不同的诱饵文件,其静默执行的指令几乎一致。
第一阶段LNK文件
安恒云沙箱检测到LNK文件包含指令如下,运行后将释放HWP诱饵文件及BAT文件到%temp%目录
HWP诱饵文件主题如下:
诱饵文件1
朝鲜外交官选拔派遣及海外公馆运营情况
诱饵文件2
朝鲜外交决策过程和商务组运营情况
第一阶段BAT文件
BAT文件运行后将加载Powershell指令
安恒云沙箱检出到相关指令运行
第一阶段Powershell指令
被加载的Powershell指令将从OneDrive加载下一阶段负载,在内存中异或解密后执行
第二阶段Payload
Payload在内存中再次解密PE执行
安恒云沙箱将该文件检出为APT37组织所用的远控木马RokRAT
RokRAT远控木马最早活跃于2017年,最初版本的RokRAT通过利用合法平台Twitter、Yandex、Mediafire进行通信。2019年开始使用Box、Dropbox、pCloud等合法平台API进行通信。主要功能包括获取文件/进程列表、下载后续负载执行、Windows指令执行、云服务令牌信息更新等。
RokRAT部分功能如下:
屏幕截图捕获
远程指令执行
系统信息(用户名、计算机名、BIOS)收集
泄露数据到云服务
文件和目录管理
此次捕获的RokRAT默认从合法云服务器pCloud获取后续执行指令,执行指令及指令含义如下:
执行指令 |
指令含义 |
c |
上传指定文件,或根据指令:Normal上传指定文件夹内后缀为.XLS .DOC .PPT .TXT .M4A .AMR .PDF .HWP的文件;All上传指定文件夹内所有文件 |
d |
删除自启动列表的VBS及LNK文件、%AppData%路径下的CMD及BAT文件 |
e |
执行远程指令 |
f |
删除自启动列表的VBS、%AppData%路径下的CMD及BAT文件 |
h |
上传根目录下的磁盘文件信息 |
1|2|3|4 |
新建线程,在内存中执行远程指令,同时获取本机进程、设备信息 |
5|7|8 |
将后续写入%Tmp%KB400928_doc.exe,并执行 |
6 |
读取远程指令 |
9 |
与其他合法服务器建立通信(Dropbox/pCloud/Yandex),读取后续负载并解密 |
该RAT硬编码的云服务(Dropbox、pCloud、Yandex)URL如下:
截至分析时间,攻击者已更换pCloud账户token,因此无法获取后续。
四
溯源分析
1
脚本代码出现在APT37历史攻击活动中
此次捕获的APT37样本在第二阶段执行的Powershell指令,与Stairwell此前报告中的Powershell脚本高度相似。
与之不同的是,此前样本的初始阶段采用ZIP格式文件,包含的LNK文件运行后直接执行本文中第一阶段BAT文件中的内容。
由此可见,该组织在2023年对其感染链进行了进一步扩充,在原有的执行流程前加密了恶意指令,加大了静态检测的难度。
2
此次样本后续为APT37组织常用RAT
此次捕获样本在最后阶段将释放APT37组织常用的RokRAT。该RAT具有多种远控功能,且善用合法云服务规避流量检测。
由于该RAT功能完善,几乎不需要再新增远控功能,但其在代码规避方面仍然有所改进,例如对硬编码指令进行加密等。
五
活动总结
安恒猎影实验室提醒广大用户朋友,不运行未知来源的邮件附件。猎影实验室将对全球APT组织进行持续跟踪,专注发现并披露各类威胁事件。
目前安全数据部已具备相关威胁检测能力,对应产品已完成IoC情报的集成:
●安恒产品已集成能力:
针对该事件中的最新IoC情报,以下产品的版本可自动完成更新,若无法自动更新则请联系技术人员手动更新:
(1)AiLPHA分析平台V5.0.0及以上版本
(2)AiNTA设备V1.2.2及以上版本
(3)AXDR平台V2.0.3及以上版本
(4)APT设备V2.0.67及以上版本
(5)EDR产品V2.0.17及以上版本
● 安恒云沙盒已集成了该事件中的样本特征:
用户可通过云沙盒:
https://sandbox.dbappsecurity.com.cn,对可疑文件进行免费分析,并下载分析报告。
安恒在线云沙盒反馈与合作请联系:[email protected]
是安恒信息的智慧大脑,也是信息安全领域前沿技术研究部门。拥有数百位安全研究员和技术研发。目前设有十大实验室,研究领域涉及数十个方向,为公司产品、服务持续赋能,提供专业的技术能力支撑。
猎影实验室
高级威胁研究团队,专注于APT攻击发现、分析、检测、溯源、防御等研究,以及积累了海量的IoC情报数据。
原文始发于微信公众号(网络安全研究宅基地):APT37针对韩国外交部下发RokRAT的窃密活动分析