威胁情报信息分享|朝鲜黑客组织ScarCruft通过LNK文件感染链部署RokRAT恶意软件

APT 11个月前 admin
633 0 0

威胁情报信息分享|朝鲜黑客组织ScarCruft通过LNK文件感染链部署RokRAT恶意软件

朝鲜APT组织ScarCruft早在2022年7月就开始尝试使用超大LNK文件作为RokRAT恶意软件的传播途径,同月微软开始在Office文档中默认屏蔽宏。


Check Point在一份新的技术报告中表示:“RokRAT多年来并未发生显著变化,但其部署方法已经发展,现在利用包含LNK文件的存档来启动多阶段感染链。”


“这是威胁格局中的一个重要趋势,APT(高级持续性威胁)和网络犯罪分子试图克服来自不受信任来源的宏阻止。”


ScarCruft还被称为APT37、InkySquid、Nickel Foxcroft、Reaper、RedEyes和Ricochet Chollima,几乎专门针对韩国个人和实体进行钓鱼攻击,以传递一系列定制工具。


根据Mandiant的说法。与Lazarus集团(Lazarus Group)或Kimsuky不同,这个黑客集团受朝鲜国家监督,负责国内反间谍和海外反情报活动。


该团队主要选择的恶意软件是RokRAT(又名DOGCALL),后来已经适应了其他平台,如macOS(CloudMensis)和Android(RambleOn),表明这个后门正在积极开发和维护。


RokRAT及其变种具备执行广泛活动的能力,如凭证盗窃、数据窃取、屏幕截图捕获、系统信息收集、命令和shellcode执行以及文件和目录管理。

威胁情报信息分享|朝鲜黑客组织ScarCruft通过LNK文件感染链部署RokRAT恶意软件

收集到的信息中,部分以MP3文件形式存储,以掩盖其行踪,通过使用诸如Dropbox、Microsoft OneDrive、pCloud和Yandex Cloud等云服务发送回来,试图将命令和控制(C2)通信伪装成合法通信。


该团队使用的其他定制恶意软件包括但不限于Chinotto、BLUELIGHT、GOLDBACKDOOR、Dolphin以及最近的M2RAT。它还被发现使用诸如Amadey这样的普通恶意软件,Amadey是一种下载器,可以从攻击者那里接收命令以下载额外的恶意软件,以混淆归属。


AhnLab安全应急响应中心(ASEC)上周也强调了将LNK文件作为诱饵激活感染序列的使用,这些文件包含PowerShell命令,部署RokRAT恶意软件。


虽然攻击方式的变化表明ScarCruft正努力适应不断变化的网络安全环境,但就在2023年4月,它仍在利用基于宏的恶意Word文档将恶意软件投放,这与Malwarebytes在2021年1月报告的类似链条相呼应。

根据以色列网络安全公司的说法,2022年11月初观察到的另一波攻击采用了包含LNK文件的ZIP存档来部署Amadey恶意软件。


Check Point表示:“[LNK文件]方法通过简单的双击就可以触发同样有效的感染链,比n-day漏洞利用或需要额外点击才能启动的Office宏更可靠。”


“APT37继续构成相当大的威胁,跨平台发起多个活动,显著改进其恶意软件传播方法。”


与此同时,卡巴斯基披露了由ScarCruft开发的一款名为SidLevel的基于Go的新恶意软件,该恶意软件首次利用云消息服务Ably作为C2机制,并具有“从受害者那里窃取敏感信息的广泛能力”。


一家俄罗斯网络安全公司在2023年第一季度的APT趋势报告中指出:“该团队继续针对与朝鲜有关的个人,包括小说家、学术学生,以及似乎向朝鲜汇款的商人。”


原文始发于微信公众号(XDsecurity):威胁情报信息分享|朝鲜黑客组织ScarCruft通过LNK文件感染链部署RokRAT恶意软件

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...