安全星图平台

APT37

APT37是一个疑似来自朝鲜的网络间谍组织，至少从2012年开始就已经活跃，该组织主要针对韩国，日本，越南，俄罗斯，尼泊尔，中国，印度，罗马尼亚，科威特和中东等国家或地区进行攻击。国内主要目标为外贸公司、在华外企高管，甚至政府部门等。

历史活动组织概况 IOC情报

2023-10-10
朝鲜APT组织近期攻击活动分析安恒威胁情报中心

2023年8月，研究人员在日常高级威胁狩猎中发现朝方APT组织针对韩方攻击活动有明显的增长，相较于以往的常态化热点攻击来看，本次8月份攻击活动更偏向于大范围批量攻击活动。整个军演期间，捕获到朝方针对韩方攻击样本超过80个，其中APT37 数量占比极高，超过9成。至9月初编写报告时，研究人员共计捕获去重后的原始样本数量超过200个，主要使用LNK、CHM作为一阶投递程序。
2023-09-26
将目光对准高校——ScarCruft组织的新活动安恒威胁情报中心

近期，研究人员在日常的威胁猎捕工作中观察到一起利用超大LNK文件传播RokRAT的攻击活动，虽然没有捕获到初始访问向量，但经过关联分析以及结合公开情报信息，认为初始访问入口点为钓鱼邮件。诱饵文件名为”Korea National Intelligence Society 2023 Summer Academic Conference and 5th National Strategy Colloquium (Final) - Korea's national security and intelligence in a period of great transition.zip（韩国国家情报学会2023年夏季学术会议暨第五届国家战略研讨会（决赛）——大转型时期的韩国国家安全与情报）“。文件内包含一个超大的LNK文件，图标伪装成PDF，执行后会从微软的onedrive服务中下载加密载荷并解密，解密后执行一段shellcode并解密出RokRAT，后续使用pcloud，yandex和dropbox的云存储服务进行远程控制等操作。
2023-09-12
RedEyes组织利用恶意LNK传播后门安恒威胁情报中心

RedEyes组织使用的恶意软件以前以 CHM 格式传播，现在以 LNK 格式传播。恶意代码通过 mshta 进程执行特定 url 中存在的附加脚本，从攻击者的服务器接收命令，并执行附加的恶意操作。已确认的 LNK 文件是由攻击者将包含恶意代码的压缩文件上传到正常站点来分发的。恶意 LNK 文件以文件名“REPORT.ZIP”上传。该文件包含正常的 Excel 文档数据和 LNK 内的恶意脚本代码。
2023-09-06
ScarCruft利用福岛核废水排放话题再投放Chinotto后门安恒威胁情报中心

安恒猎影实验室再次捕获ScarCruft利用福岛核废水排放话题针对韩国用户的CHM攻击样本。ScarCruft依然以CHM文件执行远程代码的方式进行钓鱼邮件攻击，后续下发Chinotto后门，后门主要功能依旧为窃取本机文件上传，对比上个版本新增了计划任务创建功能以及文件删除功能，具有更好的持久化驻留以及入侵痕迹清除能力。
2023-09-01
ScarCruft针对韩国金融、高校下发Chinotto后门的攻击活动分析安恒威胁情报中心

近期，安恒信息猎影实验室发现ScarCruft托管在公开网站的恶意文件，其使用多种手法加载Chinotto（Powershell版）恶意负载，主要针对韩国金融、教育等行业进行网络间谍攻击。活动主要包含以下特点：窃密活动主要以信用卡、保险账单为主题，针对韩国个人用户。其中部分诱饵文件需要输入目标生日后才得以展示，可见此类攻击精准度极高，攻击者有非常准确的攻击目标，这也是APT攻击活动的特点之一；活动将多种攻击负载托管在了公开网站上，负载以ZIP或RAR压缩包为主，包含执行恶意脚本指令的LNK或CHM文件；恶意脚本指令执行后下发ChinottoPowershell后门以及信息窃取器，其中Chinotto为ScarCruft已知的恶意组件。但在我们捕获到的最新版本中，其后门指令由9种增加到了12种。
2023-08-25
疑似 APT37 新攻击武器Fakecheck分析报告安恒威胁情报中心

研究人员发现多个CHM携带恶意脚本的攻击样本，并将新发现的木马命名为Fakecheck。此前有安全研究人员将其归属于APT37，但从跟踪APT37的攻击活动来看，此次捕获的样本及TTP与已掌握的APT37情报无关联，极可能是APT37使用的全新TTPS及木马或者是一个新的攻击组织的活动。恶意CHM诱饵使用韩语，针对韩国进行攻击，主题主要为保险、证券金融以及通讯账单相关。CHM中利用恶意脚本反编译自身，并将反编译结果释放到指定目录下，最终执行反编译释放的jse脚本，完整攻击链如下：
2023-08-11
朝鲜黑客攻击俄罗斯导弹公司安恒威胁情报中心

俄罗斯领先的导弹和军用航天器制造商NPO Mashinostroyeniya遭遇网络攻击，该公司拥有俄罗斯军方目前正在使用和正在开发的敏感导弹技术的高度机密知识产权。研究人员发现了两起与朝鲜有关的妥协事件，即黑客破坏了敏感的内部IT基础设施，包括一个特定的电子邮件服务器。攻击者还使用了名为OpenCarrot的Windows后门。安全公司将邮件服务器的黑客攻击归因于ScarCruft APT集团，同时将OpenCarrot后门与Lazarus集团联系起来。然而，目前尚不清楚这两个组织是否作为联合网络间谍活动的一部分入侵了这家俄罗斯公司。
2023-07-14
APT37组织针对能源方向投放Rokrat后门安恒威胁情报中心

APT37组织以能源方向诱饵文件投递Rokrat后门木马。攻击者投递内嵌恶意代码和PDF文档的LNK文件，LNK文件运行后从第三方云服务中下载Rokrat后门注入到PowerShell中运行。Rokrat木马是APT-C-28组织武器化后门软件，Rokrat木马可具备获取计算机敏感信息、上下发文件运行、捕获屏幕截图和键盘输入等功能，且惯用云储存API实现后门指令和文件的下发。
2023-07-11
APT37组织近期攻击活动分析安恒威胁情报中心

Group123(APT37)组织积极扩展新的攻击方式，使用伪装成合法文档的LNK文件进行攻击。这些LNK文件一般都比较大，因为里面内嵌了诱饵文档和混淆过后的PowerShell命令，仅一次双击过后即可运行，这或许比单纯使用已知的Nday漏洞进行攻击更为有效。其攻击流程如下图所示：
2023-06-26
APT37组织攻击韩国macOS用户安恒威胁情报中心

5 月 17 日，研究人员发现了APT37组织的新网络威胁活动，攻击者在进行初级网络钓鱼攻击和侦察活动以窃取受害者的电子邮件密码后，利用在此过程中识别的网络浏览器和操作系统信息进行基于 macOS 的恶意文件攻击。此次攻击对象是韩国境内从事朝鲜人权和朝鲜事务的特定人员。
查看更多