APT-C-28组织,又名ScarCruft、APT37(Reaper)、Group123,是一个来自于东北亚地区的境外APT组织,其相关攻击活动最早可追溯到2012年,且至今依然保持活跃状态。APT-C-28组织主要针对韩国等亚洲国家进行网络攻击活动,针对包括化学、电子、制造、航空航天、汽车和医疗保健等多个行业,其中以窃取战略军事、政治、经济利益相关的信息和敏感数据为主。同时,RokRat是基于云的远程访问工具,从2016年开始一直被APT-C-28组织在多个攻击活动中使用。
一、受影响情况
二、攻击活动分析
1.攻击流程分析
2.载荷投递分析
1.1.载荷投递方式
1.2.恶意载荷分析
MD5 |
BF757D55D6B48EC73851540CA7FE9315 |
SHA1 |
8A50A4EE479D9BA2F5525FA899420B30296E3ED8 |
SHA256 |
12ECABF01508C40CFEA1EBC3958214751ACFB1CD79A5BF2A4B42EBF172D7381B |
文件类型 |
MS Word Document |
文件名 |
사례비_지급의뢰서.doc |
第一阶段Macro 1
1)C:Windowsavp.exe(卡巴斯基反病毒软件)
3)C:Windowsclisve.exe(ViRobot反病毒软件)
第一阶段Macro 2
3.攻击组件分析
第一阶段Shellcode
第二阶段Shellcode
第三阶段RokRat分析
MD5 |
752F1932D21F8D95E35B6778DDEFBC79 |
SHA1 |
0EE5120ECD0E8F07CB7E2AF11C9D403D01ACE38F |
SHA256 |
9970E502A2DB3CECB5109B28D6F26E004F73D9CC64D5A6C75A91D66514576D64 |
文件类型 |
PE32 Executable |
编译时间 |
2022-12-22 03:06:16 |
-
反虚拟机:检查 VMWare 相关文件。 -
反调试:和以往的RokRat一样,多处使用nop技术(nop dword ptr [eax+eax+00h])来执行反调试。nop dword ptr [eax+eax+00h],是一个五字节的 NOP: 0x0F1F440000,但是部分调试器未能正确支持此操作码。 -
检测AV:RokRat(2022)在获取目标主机进程列表的同时,也检测当前主机是否运行360安全卫士相关进程,如果当前系统运行了360Tray.exe进程,则后续部分恶意功能不会执行。 -
识别计算机类型:RokRat使用以下注册表项来获取计算机类型:HKLMSystemCurrentControlSetServicesmssmbiosDataSMBiosData。获取的系统制造商值可用于识别计算机类型。 -
屏幕截图:RokRat获取屏幕截图,保存在tmp文件中,后续会上传到攻击者控制的云服务。 -
收集系统信息(用户名、计算机名、BIOS)。 -
文件窃取:窃取目标系统的文件。 -
获取磁盘文件信息:遍历所有磁盘内文件信息,保存至tmp文件。 -
命令执行:执行从云服务获取的命令。 -
获取载荷并执行:RokRat可以获取攻击者下发的下一阶段载荷命名为“KB400928_doc.exe”并执行。 -
通过CMD命令获取系统信息:RokRat解密所要执行的cmd命令,获取系统信息例如网络信息等。 -
云服务:在RokRat(2022)中,攻击者使用了Dropbox、Pcloud和Yandex三种云服务来与目标主机进行信息交互,通过云服务下载恶意载荷以及上传用户数据,没有使用Google和Box云服务。
RokRat版本对比
-
检测AV:RokRat(2022)在获取进程信息时,增加了AV检测。如果检测到360安全卫士相关进程,后续部分恶意功能不会执行。
-
痕迹清理:在清理目标系统痕迹时执行的命令发生改变,也意味着持久化方式改变。 -
RokRat(2022):
reg delete HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run /v OfficeBootPower /f & reg delete HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /v OfficeBootPower /f & del c:\programdata\30 -
RokRat(2019/2020): del “%appdata%MicrosoftWindowsStart MenuProgramsStartup*.VBS” “%appdata%*.CMD” “%appdata%*.BAT” “%appdata%*01” “%appdata%MicrosoftWindowsStart MenuProgramsStartup*.lnk” “%allusersprofile%MicrosoftWindowsStart MenuProgramsStartup*.lnk” /F /Q -
利用CMD命令获取系统信息:RokRat(2022)在原基础上增加了获取%localappdata%和%allusersprofile%目录下的文件信息。
-
文件窃取:在获取到C2下发的目录字符后,RokRat(2022)添加了文件类型过滤代码,根据文件类型有选择性窃取文件。
-
云服务:RokRat(2022)没有使用Box云服务。
RokRat(2022) |
RokRat(2019/2020) |
Dropbox Pcloud Yandex |
Dropbox Pcloud Yandex Box |
三、归属研判
BF757D55D6B48EC73851540CA7FE9315
https://api.onedrive[.]com/v1.0/shares/u!aHR0cHM6Ly8xZHJ2Lm1zL3UvcyFBdTJteTF4aDZ0OFhkSUpseW14b21abFd2WW8_ZT15SjJTSkk/root/content
[1]https://www.malwarebytes.com/blog/news/2021/01/retrohunting-apt37-north-korean-apt-used-vba-self-decode-technique-to-inject-rokrat
[3]https://medium.com/s2wblog/matryoshka-variant-of-rokrat-apt37-scarcruft-69774ea7bf48
360高级威胁研究院
原文始发于微信公众号(360威胁情报中心):APT-C-28(ScarCruft)组织利用恶意文档投递RokRat攻击活动分析