Securonix 威胁研究 (STR) 团队的研究人员发现了一个新的攻击活动,被跟踪为 STIFF#BIZON,针对多个国家的高价值组织,包括捷克共和国和波兰。研究人员将此活动归因于与朝鲜有关的APT37组织,即 Ricochet Chollima。
攻击者使用了Konni RAT(远程访问木马),该木马于 2017 年由 Cisco Talos 研究人员首次发现,自 2014 年以来一直未被发现,同时被用于高度针对性的攻击。RAT由于不断进化而能够避免检测,它能够在目标系统上执行任意代码并窃取数据。
Konni RAT 被归咎于与朝鲜有关的威胁行为者,被追踪为APT37。攻击链从试图诱骗受害者打开恶意附件的网络钓鱼邮件开始。
此活动中使用的附件是一个包含 Word 文档 (missile.docx) 和 Windows 快捷方式文件 (_weapons.doc.lnk.lnk) 的档案。
一旦打开 LNK 文件,感染链就会启动。
“代码执行首先将一小段代码嵌入到快捷方式文件中,当用户双击它时,该快捷方式文件将与预期的二进制文件一起运行和执行。” 阅读专家发表的分析。“此代码运行并执行附加到 missile.docx 文件末尾的 Base64 编码文本。”
Base64 有效负载与联系 C2 以下载和执行“weapons.doc”和“wp.vbs”文件的 PowerShell 脚本一起执行。
Weapons.doc 是一个诱饵文件,而 wp.vbs 在后台静默运行,并在名为“Office Update”的主机上创建一个计划任务,该任务执行以 Base64 编码的 PowerShell 脚本。
此时,C2 通信再次建立,允许攻击者访问系统。
一旦 Konni RAT 被加载到受感染的系统上,威胁参与者就可以使用特定模块实现以下功能:
-
Capture.net.exe – 使用 Win32 GDI API 捕获屏幕截图并将 gzip 压缩的结果上传到 C2 服务器。
-
chkey.net.exe – 提取存储在本地状态文件中的状态密钥,使用 DPAPI 加密。状态密钥允许攻击者解密 cookie 数据库解密,这在绕过 MFA 时很有用。
-
pull.net.exe – 从受害者的网络浏览器中提取保存的凭据。
-
shell.net.exe – 建立一个可以每 10 秒运行一次命令的远程交互式 shell。
-
为了进一步保持持久性,威胁参与者使用 Konni 恶意软件的修改版本,他们能够下载一个 .cab 文件,其中包含与恶意软件相关的多个文件(bat、dll、dat、ini、dll)。
专家们还讨论了在俄罗斯境内的 APT28 组织可能伪装成 APT37 的假旗行动的可能性。
“此外,在这次攻击和我们之前从 FancyBear/APT28 [3]中看到的历史数据之间,IP 地址、托管服务提供商和主机名之间似乎存在直接关联。最后,这个特殊案例的有趣之处在于,它使用了 Konni 恶意软件以及与 APT28 的相似之处。”
2022.07.25
2022.07.25
2022.07.22
注:本文由E安全编译报道,转载请联系授权并注明来源。
原文始发于微信公众号(E安全):最新活动!与朝鲜有关的APT37组织正攻击捷克、波兰等多个国家