APT-C-28(ScarCruft)组织又名APT37(Reaper)、Group123,是一个来自于东北亚地区的境外APT组织,其相关攻击活动最早可追溯到2012年,且至今依然保持活跃状态。APT-C-28组织主要针对韩国等亚洲国家进行网络攻击活动,针对包括化学、电子、制造、航空航天、汽车和医疗保健等多个行业,其中以窃取战略军事、政治、经济利益相关的情报和敏感数据为主。
一、受影响情况
攻击者以Sharara到Mellitah 石油管道信息向目标人员进行投递,该石油管道位于利比亚承担从利比亚Wadi al-Hayaa区到利比亚Nuqat al Khams区的石油输送任务。
二、攻击活动分析
1.攻击流程分析
完整的攻击流程如下:
2.恶意载荷分析
3.攻击组件分析
由OneDrive中下载执行的Rokrat木马与以往APT-C-28组织中攻击活动中所使用的基本变化不大。利用公共云盘进行指令通行、文件下发上传,获取计算机名称、用户名、BIOS、系统版本等敏感信息,以及通过判断vmtoolsd版本用来确定是否在虚拟环境。
攻击者在样本中搭载了pcloud、Yandex、Dropbox等三个云盘的API利用方法以及要使用的云盘token。
确认token有效后使用API从云盘指定目录获取后门指令信息用于攻击指令下发。
|
字符指令 |
功能 |
|
0,g |
重连 |
|
1,2,3,4,5,7,8 |
无 |
|
i |
屏幕截图并上传 |
|
j,b |
退出 |
|
d,f |
指定命令执行,删除指定目录文件 |
|
h |
遍历目录输出到文件并上传 |
|
e |
命令执行 |
|
c |
指定文件上传 |
|
9 |
下发文件到指定目录 |
此处捕获的Rokrat木马与以往披露的Rokrat版本变化不大,从文件命名、代码结构以及后门功能都变化不大。网络行为中更是沿用了以往惯用Content-Type信息。
以往报告所披露的Rokrat木马中使用的Content-Type字段信息。
85e71578ad7fea3c15095b6185b14881
4D3464B23DD4FB141C8FCC4CBF541832
7B7C43ED1EB6A423BDCFD0484FE560C3
2C180BF7A1E6DBE84060C3B5AA53FEB7(PDF)
4FE698C235D03A271305DB8FFDAA9E36(OneDrive下载密文)
https://api.onedrive.com/v1.0/shares/u!aHR0cHM6Ly8xZHJ2Lm1zL3UvcyFBalFOTHZFRV9DVU9iUFdnLXhPZG8xRXFYckU_ZT1BM1QwV2Q/root/content
https://www.cisa.gov/news-events/analysis-reports/ar20-133d
360高级威胁研究院
原文始发于微信公众号(360威胁情报中心):APT-C-28(ScarCruft)组织针对能源方向投放Rokrat后门活动分析
