APT37针对韩国外交部下发RokRAT的窃密活动分析

APT 1年前 (2023) admin
548 0 0

点击蓝字关注我们


事件背景

      APT37组织又名Group123、InkySquid、Operation Daybreak、Operation Erebus、Reaper Group、Red Eyes、ScarCruft、Venus 121。该组织至少从2012年开始活跃,主要针对韩国的公共和私营部门。2017年,APT37将其目标扩展到朝鲜半岛之外,包括日本、越南和中东,并扩展到更广泛的垂直行业,包括化学、电子、制造、航空航天、汽车和医疗保健实体。2023年,APT37组织开始针对国内用户进行网络钓鱼,涉及Windows和Android平台。


      近日,安恒信息猎影实验室在日常威胁狩猎中发现,APT37组织使用ISO文件针对韩国外交部门进行窃密。其初始攻击负载包含两个有大量无效数据填充的LNK文件,运行后在本机释放HWP诱饵文件及BAT文件,执行Powershell指令下载后续负载,最终解密RokRAT,与合法云服务pCloud通信,下发恶意指令执行。

APT37针对韩国外交部下发RokRAT的窃密活动分析


样本信息

      此次捕获样本信息如下:

文件Hash

2cd04d9e11c6e458ec16db1ab810d625

上传地区

KR韩国

首次上传

2023-04-03 12:47:17 UTC

文件格式

ISO image

文件大小

59.41 MB (62300160 bytes)


详细分析

      原始样本为ISO文件,该文件包含两个有大量无效数据填充的LNK文件,不同名的LNK文件运行后释放不同的诱饵文件,其静默执行的指令几乎一致。

第一阶段LNK文件

      安恒云沙箱检测到LNK文件包含指令如下,运行后将释放HWP诱饵文件及BAT文件到%temp%目录

APT37针对韩国外交部下发RokRAT的窃密活动分析

      HWP诱饵文件主题如下:

诱饵文件1

朝鲜外交官选拔派遣及海外公馆运营情况

APT37针对韩国外交部下发RokRAT的窃密活动分析

诱饵文件2

朝鲜外交决策过程和商务组运营情况

APT37针对韩国外交部下发RokRAT的窃密活动分析

第一阶段BAT文件

      BAT文件运行后将加载Powershell指令

APT37针对韩国外交部下发RokRAT的窃密活动分析

      安恒云沙箱检出到相关指令运行

APT37针对韩国外交部下发RokRAT的窃密活动分析

第一阶段Powershell指令

      被加载的Powershell指令将从OneDrive加载下一阶段负载,在内存中异或解密后执行

APT37针对韩国外交部下发RokRAT的窃密活动分析


第二阶段Payload

      Payload在内存中再次解密PE执行

APT37针对韩国外交部下发RokRAT的窃密活动分析

      安恒云沙箱将该文件检出为APT37组织所用的远控木马RokRAT

APT37针对韩国外交部下发RokRAT的窃密活动分析

      RokRAT远控木马最早活跃于2017年,最初版本的RokRAT通过利用合法平台Twitter、Yandex、Mediafire进行通信。2019年开始使用Box、Dropbox、pCloud等合法平台API进行通信。主要功能包括获取文件/进程列表、下载后续负载执行、Windows指令执行、云服务令牌信息更新等。


      RokRAT部分功能如下:

屏幕截图捕获

APT37针对韩国外交部下发RokRAT的窃密活动分析

远程指令执行

APT37针对韩国外交部下发RokRAT的窃密活动分析

系统信息(用户名、计算机名、BIOS)收集

APT37针对韩国外交部下发RokRAT的窃密活动分析

泄露数据到云服务

APT37针对韩国外交部下发RokRAT的窃密活动分析

文件和目录管理

      此次捕获的RokRAT默认从合法云服务器pCloud获取后续执行指令,执行指令及指令含义如下:

执行指令

指令含义

c

上传指定文件,或根据指令:Normal上传指定文件夹内后缀为.XLS .DOC .PPT .TXT .M4A .AMR .PDF .HWP的文件;All上传指定文件夹内所有文件

d

删除自启动列表的VBS及LNK文件、%AppData%路径下的CMD及BAT文件

e

执行远程指令

f

删除自启动列表的VBS、%AppData%路径下的CMD及BAT文件

h

上传根目录下的磁盘文件信息

1|2|3|4

新建线程,在内存中执行远程指令,同时获取本机进程、设备信息

5|7|8

将后续写入%Tmp%KB400928_doc.exe,并执行

6

读取远程指令

9

与其他合法服务器建立通信(Dropbox/pCloud/Yandex),读取后续负载并解密


      该RAT硬编码的云服务(Dropbox、pCloud、Yandex)URL如下:

APT37针对韩国外交部下发RokRAT的窃密活动分析
APT37针对韩国外交部下发RokRAT的窃密活动分析
APT37针对韩国外交部下发RokRAT的窃密活动分析


      截至分析时间,攻击者已更换pCloud账户token,因此无法获取后续。

APT37针对韩国外交部下发RokRAT的窃密活动分析


溯源分析

1

脚本代码出现在APT37历史攻击活动中

      此次捕获的APT37样本在第二阶段执行的Powershell指令,与Stairwell此前报告中的Powershell脚本高度相似。

APT37针对韩国外交部下发RokRAT的窃密活动分析


      与之不同的是,此前样本的初始阶段采用ZIP格式文件,包含的LNK文件运行后直接执行本文中第一阶段BAT文件中的内容。


      由此可见,该组织在2023年对其感染链进行了进一步扩充,在原有的执行流程前加密了恶意指令,加大了静态检测的难度。

2

此次样本后续为APT37组织常用RAT

      此次捕获样本在最后阶段将释放APT37组织常用的RokRAT。该RAT具有多种远控功能,且善用合法云服务规避流量检测。


      由于该RAT功能完善,几乎不需要再新增远控功能,但其在代码规避方面仍然有所改进,例如对硬编码指令进行加密等。

APT37针对韩国外交部下发RokRAT的窃密活动分析


活动总结

      安恒猎影实验室提醒广大用户朋友,不运行未知来源的邮件附件。猎影实验室将对全球APT组织进行持续跟踪,专注发现并披露各类威胁事件。


      目前安全数据部已具备相关威胁检测能力,对应产品已完成IoC情报的集成:

 ●安恒产品已集成能力:

     针对该事件中的最新IoC情报,以下产品的版本可自动完成更新,若无法自动更新则请联系技术人员手动更新:

(1)AiLPHA分析平台V5.0.0及以上版本

(2)AiNTA设备V1.2.2及以上版本

(3)AXDR平台V2.0.3及以上版本

(4)APT设备V2.0.67及以上版本

(5)EDR产品V2.0.17及以上版本

 ● 安恒云沙盒已集成了该事件中的样本特征:

      用户可通过云沙盒:

https://sandbox.dbappsecurity.com.cn,对可疑文件进行免费分析,并下载分析报告。

APT37针对韩国外交部下发RokRAT的窃密活动分析


安恒在线云沙盒反馈与合作请联系:[email protected]


APT37针对韩国外交部下发RokRAT的窃密活动分析
APT37针对韩国外交部下发RokRAT的窃密活动分析

是安恒信息的智慧大脑,也是信息安全领域前沿技术研究部门。拥有数百位安全研究员和技术研发。目前设有十大实验室,研究领域涉及数十个方向,为公司产品、服务持续赋能,提供专业的技术能力支撑。

猎影实验室


APT37针对韩国外交部下发RokRAT的窃密活动分析

高级威胁研究团队,专注于APT攻击发现、分析、检测、溯源、防御等研究,以及积累了海量的IoC情报数据。

APT37针对韩国外交部下发RokRAT的窃密活动分析

网络安全研究宅基地

扫码关注我们,一群技术宅

原文始发于微信公众号(网络安全研究宅基地):APT37针对韩国外交部下发RokRAT的窃密活动分析

版权声明:admin 发表于 2023年4月28日 下午12:12。
转载请注明:APT37针对韩国外交部下发RokRAT的窃密活动分析 | CTF导航

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...