APT37组织假借“付款申请表”等恶意文档向目标投递RokRat恶意软件。在本次攻击活动中,初始样本是伪装成“付款申请表”的恶意文档,诱导用户启用宏后下载并执行RokRat恶意软件。不过结合以往公开威胁情报信息,此次攻击活动初始载荷应该是钓鱼邮件。当用户启用恶意文档中的宏代码后,会从Macro1的硬编码数据中动态解密出第二个宏代码Macro2。Macro2将硬编码的第一阶段Shellcode注入到Notepad.exe中,之后从攻击者控制的云服务下载加密载荷并对其解密,得到第二阶段Shellcode,最后Shellcode解密硬编码数据获得RokRat恶意软件。
APT37组织通过LNK文件分发了RokRAT恶意软件。LNK 文件包含一个 PowerShell 命令,并在用户不知情的情况下通过在临时路径中创建和执行脚本文件以及普通文件来执行恶意行为。
自2022年7月以来,APT37组织部署ROKRAT的方法发生了变化。此前,ROKRAT 感染链通常涉及带有漏洞的恶意 Hangul Word Processor(HWP,韩国流行的文档格式)文档,或带有宏的 Microsoft Word 文档。部署方法发生了变化,现在利用包含启动多阶段感染链的 LNK 文件的存档。
APT37组织近期通过LNK文件分发了RokRAT恶意软件。RokRAT能够收集用户凭据并下载其他恶意软件。本次发现的 LNK 文件包含 PowerShell 命令,这些命令可以通过在临时文件夹中创建和执行脚本文件以及普通文件来执行恶意行为。
APT37组织针对韩国多次发起定向攻击行动。在本轮攻击中,该组织前后使用“奖励清单”、“支付”等具有诱导性的文件名,同时使用“加密货币”、“通讯录”等诱饵内容诱导用户执行恶意宏文档。宏文档被允许执行后,会从自身下载或者释放CAB载荷并解压执行其中的脚本文件,进行一系列恶意样本的加载,从而对受害者发动网络攻击,达到窃密目的。本次攻击流程大致如下图所示:APT37组织利用诱饵文件诱导用户点击打开,一旦执行便从远端服务器下载恶意宏模板文件,宏代码主要功能是继续下载CAB文件并解压执行其中check.bat文件,该BAT会判断系统版本及CPU架构,以便在安装服务时根据对应版本选择不同的UAC绕过方式,从而顺利伪装系统服务启动后门模块,达到驻留目的并开启窃密活动。
APT37在其运营中使用的关键工具之一是Chinotto后门,这一种复杂的恶意软件,为攻击者提供对目标网络的持久访问。Chinotto后门是一个定制的恶意软件,已与APT37相关联,并已在该组织的一些高调攻击中使用。研究人员发布了技术报告,探讨Chinotto后门及其功能,以及APT37在其操作中的使用。
Scarcruft Group(又名 APT37),持续对世界各地的机构和政治组织进行攻击。研究人员发现了APT37组织自 2017 年以来一直使用的移动版 ROKRAT 恶意软件相似的功能和代码,并将恶意 APK命名为“Cumulus”、Cumulus 使用的插件命名为“ Clugin ”。Scarcruft 组织更新了恶意软件的功能或在测试设备上安装了中国特定的应用程序,以针对使用中文和中国制造的移动设备的用户。 Cumulus又名RambleOn,被单独分类为一种现有的 ROKRAT 移动恶意软件,并添加了 FCM 或 Pushy 等消息传递功能。Cumulus 通常伪装成合法的移动应用程序分发,例如 CoinMiner、图像查看器或信使。
APT37 是一个朝鲜APT组织,已于 2023 年 1 月下半月恢复攻击活动,主要针对韩国组织中的个人。它的主要目标是网络间谍活动,使用各种攻击向量分发基于 Chinotto PowerShell 的后门。研究人员发现了APT37组织的 GitHub 存储库,并发现了该组织使用的许多以前未记录的攻击向量、工件和主题。APT37 滥用的文件格式包括 Windows 帮助文件 (CHM)、HTA、HWP (Hancom office)、XLL (MS Excel Add-in) 和基于宏的 MS Office 文件。除了分发恶意软件外,该组织还专注于凭据网络钓鱼攻击。使用 CHM 文件格式启动感染链的攻击链如下:
Reaper又名APT37,至少从2012年开始活跃,主要针对非政府组织、持不同政见者、记者和朝鲜叛逃者开展网络间谍活动。研究人员发现了APT37活动中的几个网络钓鱼网页、CHM 感染向量、新的PowerShell 植入程序和Chinotto恶意软件模块,并确定活动的目的是为了对朝鲜叛逃者进行监视。
RedEyes攻击组织(又名APT37、ScarCruft)创建的CHM 恶意软件正针对韩国用户分发。执行CHM文件时,会创建一个模拟韩国某金融公司安全邮箱的帮助窗口。此时存在于CHM内部的恶意脚本在运行,用户很难察觉到该进程。攻击者通过Click方法调用快捷方式对象,执行Item1项中保存的命令。在该文件中,特定 url 中存在的附加脚本通过 mshta 进程执行。 通过mshta进程执行的“1.html”文件包含JS(JavaScript)代码,该代码执行编码后的PowerShell命令。此时执行的PowerShell命令与前述M2RAT恶意软件攻击过程中使用的命令类似。通过查看解码后的PowerShell命令,2月份使用的所有命令和代码除了C2地址、存储命令执行结果的文件名和注册表值名称外都是相同的。该命令完成了注册RUN密钥进行持久化、接收来自攻击者服务器的命令以及下发命令执行结果的功能。