APT37针对韩国外交部下发RokRAT

APT37针对韩国外交部下发RokRAT

概述

APT37组织又名Group123、InkySquid、Operation Daybreak、Operation Erebus、Reaper Group、Red Eyes、ScarCruft、Venus 121。该组织至少从2012年开始活跃,主要针对韩国的公共和私营部门。2017年,APT37将其目标扩展到朝鲜半岛之外,包括日本、越南和中东,并扩展到更广泛的垂直行业,包括化学、电子、制造、航空航天、汽车和医疗保健实体。2023年,APT37组织开始针对国内用户进行网络钓鱼,涉及Windows和Android平台。

近日,安恒猎影实验室在日常威胁狩猎中发现,APT37组织使用ISO文件针对韩国外交部门进行窃密。其初始攻击负载包含两个有大量无效数据填充的LNK文件,运行后在本机释放HWP诱饵文件及BAT文件,执行Powershell指令下载后续负载,最终解密RokRAT,与合法云服务pCloud通信,下发恶意指令执行。

样本信息

此次捕获样本信息如下

文件Hash 2cd04d9e11c6e458ec16db1ab810d625
上传地区 KR韩国
首次上传 2023-04-03 12:47:17 UTC
文件格式 ISO image
文件大小 59.41 MB (62300160 bytes)

详细分析

原始样本为ISO文件,该文件包含两个有大量无效数据填充的LNK文件,不同名的LNK文件运行后释放不同的诱饵文件,其静默执行的指令几乎一致。

第一阶段LNK文件

安恒云沙箱检测到LNK文件包含指令如下,运行后将释放HWP诱饵文件及BAT文件到%temp%目录

HWP诱饵文件主题如下:

诱饵文件1:朝鲜外交官选拔派遣及海外公馆运营情况

诱饵文件2:朝鲜外交决策过程和商务组运营情况

第一阶段BAT文件

BAT文件运行后将加载Powershell指令

安恒云沙箱检出到相关指令运行

第一阶段Powershell指令

被加载的Powershell指令将从OneDrive加载下一阶段负载,在内存中异或解密后执行

第二阶段Payload

Payload在内存中再次解密PE执行

安恒云沙箱将该文件检出为APT37组织所用的远控木马RokRAT

RokRAT远控木马最早活跃于2017年,最初版本的RokRAT通过利用合法平台Twitter、Yandex、Mediafire进行通信。2019年开始使用Box、Dropbox、pCloud等合法平台API进行通信。主要功能包括获取文件/进程列表、下载后续负载执行、Windows指令执行、云服务令牌信息更新等。

RokRAT部分功能如下:

  • 屏幕截图捕获

  • 远程指令执行

  • 系统信息(用户名、计算机名、BIOS)收集

  • 泄露数据到云服务

  • 文件和目录管理

此次捕获的RokRAT默认从合法云服务器pCloud获取后续执行指令,执行指令及指令含义如下:

c 上传指定文件,或根据指令:Normal上传指定文件夹内后缀为.XLS .DOC .PPT .TXT .M4A .AMR .PDF .HWP的文件;All上传指定文件夹内所有文件
d 删除自启动列表的VBS及LNK文件、%AppData%路径下的CMD及BAT文件
e 执行远程指令
f 删除自启动列表的VBS、%AppData%路径下的CMD及BAT文件
h 上传根目录下的磁盘文件信息
1|2|3|4 新建线程,在内存中执行远程指令,同时获取本机进程、设备信息
5|7|8 将后续写入%Tmp%KB400928_doc.exe,并执行
6 读取远程指令
9 与其他合法服务器建立通信(Dropbox/pCloud/Yandex),读取后续负载并解密

该RAT硬编码的云服务(Dropbox、pCloud、Yandex)URL如下:

截至分析时间,攻击者已更换pCloud账户token,因此无法获取后续。

溯源分析

  1. 脚本代码出现在APT37历史攻击活动中

此次捕获的APT37样本在第二阶段执行的Powershell指令,与Stairwell此前报告中的Powershell脚本高度相似。

与之不同的是,此前样本的初始阶段采用ZIP格式文件,包含的LNK文件运行后直接执行本文中第一阶段BAT文件中的内容。

由此可见,该组织在2023年对其感染链进行了进一步扩充,在原有的执行流程前加密了恶意指令,加大了静态检测的难度。

  1. 此次样本后续为APT37组织常用RAT

此次捕获样本在最后阶段将释放APT37组织常用的RokRAT。该RAT具有多种远控功能,且善用合法云服务规避流量检测。

由于该RAT功能完善,几乎不需要再新增远控功能,但其在代码规避方面仍然有所改进,例如对硬编码指令进行加密等。

活动总结

安恒猎影实验室提醒广大用户朋友,不运行未知来源的邮件附件。猎影实验室将持续对全球APT组织进行持续跟踪,专注发现并披露各类威胁事件。

目前安全数据部已具备相关威胁检测能力,对应产品已完成IoC情报的集成:

安恒产品已集成能力:

针对该事件中的最新IoC情报,以下产品的版本可自动完成更新,若无法自动更新则请联系技术人员手动更新:

(1)AiLPHA分析平台V5.0.0及以上版本

(2)AiNTA设备V1.2.2及以上版本

(3)AXDR平台V2.0.3及以上版本

(4)APT设备V2.0.67及以上版本

(5)EDR产品V2.0.17及以上版本

安恒云沙盒已集成了该事件中的样本特征。用户可通过云沙盒:https://ti.dbappsecurity.com.cn/sandbox,对可疑文件进行免费分析,并下载分析报告。

IOC

2cd04d9e11c6e458ec16db1ab810d625

657fd7317ccde5a0e0c182a626951a9f

be32725e676d49eaa11ff51c61f18907

461ce7d6c6062d1ae33895d1f44d98fb

979ae1db39fbf32a0f5c5ba581b648f0

Comments are closed.