APT37针对韩国外交部下发RokRAT
概述
APT37组织又名Group123、InkySquid、Operation Daybreak、Operation Erebus、Reaper Group、Red Eyes、ScarCruft、Venus 121。该组织至少从2012年开始活跃,主要针对韩国的公共和私营部门。2017年,APT37将其目标扩展到朝鲜半岛之外,包括日本、越南和中东,并扩展到更广泛的垂直行业,包括化学、电子、制造、航空航天、汽车和医疗保健实体。2023年,APT37组织开始针对国内用户进行网络钓鱼,涉及Windows和Android平台。
近日,安恒猎影实验室在日常威胁狩猎中发现,APT37组织使用ISO文件针对韩国外交部门进行窃密。其初始攻击负载包含两个有大量无效数据填充的LNK文件,运行后在本机释放HWP诱饵文件及BAT文件,执行Powershell指令下载后续负载,最终解密RokRAT,与合法云服务pCloud通信,下发恶意指令执行。
样本信息
文件Hash | 2cd04d9e11c6e458ec16db1ab810d625 |
上传地区 | KR韩国 |
首次上传 | 2023-04-03 12:47:17 UTC |
文件格式 | ISO image |
文件大小 | 59.41 MB (62300160 bytes) |
详细分析
原始样本为ISO文件,该文件包含两个有大量无效数据填充的LNK文件,不同名的LNK文件运行后释放不同的诱饵文件,其静默执行的指令几乎一致。
第一阶段LNK文件
安恒云沙箱检测到LNK文件包含指令如下,运行后将释放HWP诱饵文件及BAT文件到%temp%目录
HWP诱饵文件主题如下:
诱饵文件1:朝鲜外交官选拔派遣及海外公馆运营情况
诱饵文件2:朝鲜外交决策过程和商务组运营情况
第一阶段BAT文件
BAT文件运行后将加载Powershell指令
安恒云沙箱检出到相关指令运行
第一阶段Powershell指令
被加载的Powershell指令将从OneDrive加载下一阶段负载,在内存中异或解密后执行
第二阶段Payload
Payload在内存中再次解密PE执行
安恒云沙箱将该文件检出为APT37组织所用的远控木马RokRAT
RokRAT远控木马最早活跃于2017年,最初版本的RokRAT通过利用合法平台Twitter、Yandex、Mediafire进行通信。2019年开始使用Box、Dropbox、pCloud等合法平台API进行通信。主要功能包括获取文件/进程列表、下载后续负载执行、Windows指令执行、云服务令牌信息更新等。
RokRAT部分功能如下:
- 屏幕截图捕获
- 远程指令执行
- 系统信息(用户名、计算机名、BIOS)收集
- 泄露数据到云服务
- 文件和目录管理
此次捕获的RokRAT默认从合法云服务器pCloud获取后续执行指令,执行指令及指令含义如下:
c | 上传指定文件,或根据指令:Normal上传指定文件夹内后缀为.XLS .DOC .PPT .TXT .M4A .AMR .PDF .HWP的文件;All上传指定文件夹内所有文件 |
d | 删除自启动列表的VBS及LNK文件、%AppData%路径下的CMD及BAT文件 |
e | 执行远程指令 |
f | 删除自启动列表的VBS、%AppData%路径下的CMD及BAT文件 |
h | 上传根目录下的磁盘文件信息 |
1|2|3|4 | 新建线程,在内存中执行远程指令,同时获取本机进程、设备信息 |
5|7|8 | 将后续写入%Tmp%KB400928_doc.exe,并执行 |
6 | 读取远程指令 |
9 | 与其他合法服务器建立通信(Dropbox/pCloud/Yandex),读取后续负载并解密 |
该RAT硬编码的云服务(Dropbox、pCloud、Yandex)URL如下:
截至分析时间,攻击者已更换pCloud账户token,因此无法获取后续。
溯源分析
- 脚本代码出现在APT37历史攻击活动中
此次捕获的APT37样本在第二阶段执行的Powershell指令,与Stairwell此前报告中的Powershell脚本高度相似。
与之不同的是,此前样本的初始阶段采用ZIP格式文件,包含的LNK文件运行后直接执行本文中第一阶段BAT文件中的内容。
由此可见,该组织在2023年对其感染链进行了进一步扩充,在原有的执行流程前加密了恶意指令,加大了静态检测的难度。
- 此次样本后续为APT37组织常用RAT
此次捕获样本在最后阶段将释放APT37组织常用的RokRAT。该RAT具有多种远控功能,且善用合法云服务规避流量检测。
由于该RAT功能完善,几乎不需要再新增远控功能,但其在代码规避方面仍然有所改进,例如对硬编码指令进行加密等。
活动总结
安恒猎影实验室提醒广大用户朋友,不运行未知来源的邮件附件。猎影实验室将持续对全球APT组织进行持续跟踪,专注发现并披露各类威胁事件。
目前安全数据部已具备相关威胁检测能力,对应产品已完成IoC情报的集成:
安恒产品已集成能力:
针对该事件中的最新IoC情报,以下产品的版本可自动完成更新,若无法自动更新则请联系技术人员手动更新:
(1)AiLPHA分析平台V5.0.0及以上版本
(2)AiNTA设备V1.2.2及以上版本
(3)AXDR平台V2.0.3及以上版本
(4)APT设备V2.0.67及以上版本
(5)EDR产品V2.0.17及以上版本
安恒云沙盒已集成了该事件中的样本特征。用户可通过云沙盒:https://ti.dbappsecurity.com.cn/sandbox,对可疑文件进行免费分析,并下载分析报告。
IOC
2cd04d9e11c6e458ec16db1ab810d625
657fd7317ccde5a0e0c182a626951a9f
be32725e676d49eaa11ff51c61f18907
461ce7d6c6062d1ae33895d1f44d98fb
979ae1db39fbf32a0f5c5ba581b648f0