2023年8月,研究人員在日常高級威脅狩獵中發現朝方APT組織針對韓方攻擊活動有明顯的增長,相較于以往的常態化熱點攻擊來看,本次8月份攻擊活動更偏向于大范圍批量攻擊活動。整個軍演期間,捕獲到朝方針對韓方攻擊樣本超過80個,其中APT37 數量占比極高,超過9成。至9月初編寫報告時,研究人員共計捕獲去重后的原始樣本數量超過200個,主要使用LNK、CHM作為一階投遞程序。
近期,研究人員在日常的威脅獵捕工作中觀察到一起利用超大LNK文件傳播RokRAT的攻擊活動,雖然沒有捕獲到初始訪問向量,但經過關聯分析以及結合公開情報信息,認為初始訪問入口點為釣魚郵件。誘餌文件名為”Korea National Intelligence Society 2023 Summer Academic Conference and 5th National Strategy Colloquium (Final) - Korea's national security and intelligence in a period of great transition.zip(韓國國家情報學會2023年夏季學術會議暨第五屆國家戰略研討會(決賽)——大轉型時期的韓國國家安全與情報)“。文件內包含一個超大的LNK文件,圖標偽裝成PDF,執行后會從微軟的onedrive服務中下載加密載荷并解密,解密后執行一段shellcode并解密出RokRAT,后續使用pcloud,yandex和dropbox的云存儲服務進行遠程控制等操作。
RedEyes組織使用的惡意軟件以前以 CHM 格式傳播,現在以 LNK 格式傳播。惡意代碼通過 mshta 進程執行特定 url 中存在的附加腳本,從攻擊者的服務器接收命令,并執行附加的惡意操作。已確認的 LNK 文件是由攻擊者將包含惡意代碼的壓縮文件上傳到正常站點來分發的。惡意 LNK 文件以文件名“REPORT.ZIP”上傳。該文件包含正常的 Excel 文檔數據和 LNK 內的惡意腳本代碼。
安恒獵影實驗室再次捕獲ScarCruft利用福島核廢水排放話題針對韓國用戶的CHM攻擊樣本。ScarCruft依然以CHM文件執行遠程代碼的方式進行釣魚郵件攻擊,后續下發Chinotto后門,后門主要功能依舊為竊取本機文件上傳,對比上個版本新增了計劃任務創建功能以及文件刪除功能,具有更好的持久化駐留以及入侵痕跡清除能力。
近期,安恒信息獵影實驗室發現ScarCruft托管在公開網站的惡意文件,其使用多種手法加載Chinotto(Powershell版)惡意負載,主要針對韓國金融、教育等行業進行網絡間諜攻擊?;顒又饕韵绿攸c:竊密活動主要以信用卡、保險賬單為主題,針對韓國個人用戶。其中部分誘餌文件需要輸入目標生日后才得以展示,可見此類攻擊精準度極高,攻擊者有非常準確的攻擊目標,這也是APT攻擊活動的特點之一;活動將多種攻擊負載托管在了公開網站上,負載以ZIP或RAR壓縮包為主,包含執行惡意腳本指令的LNK或CHM文件;惡意腳本指令執行后下發ChinottoPowershell后門以及信息竊取器,其中Chinotto為ScarCruft已知的惡意組件。但在我們捕獲到的最新版本中,其后門指令由9種增加到了12種。
研究人員發現多個CHM攜帶惡意腳本的攻擊樣本,并將新發現的木馬命名為Fakecheck。此前有安全研究人員將其歸屬于APT37,但從跟蹤APT37的攻擊活動來看,此次捕獲的樣本及TTP與已掌握的APT37情報無關聯,極可能是APT37使用的全新TTPS及木馬或者是一個新的攻擊組織的活動。惡意CHM誘餌使用韓語,針對韓國進行攻擊,主題主要為保險、證券金融以及通訊賬單相關。CHM中利用惡意腳本反編譯自身,并將反編譯結果釋放到指定目錄下,最終執行反編譯釋放的jse腳本,完整攻擊鏈如下:
俄羅斯領先的導彈和軍用航天器制造商NPO Mashinostroyeniya遭遇網絡攻擊,該公司擁有俄羅斯軍方目前正在使用和正在開發的敏感導彈技術的高度機密知識產權。研究人員發現了兩起與朝鮮有關的妥協事件,即黑客破壞了敏感的內部IT基礎設施,包括一個特定的電子郵件服務器。攻擊者還使用了名為OpenCarrot的Windows后門。安全公司將郵件服務器的黑客攻擊歸因于ScarCruft APT集團,同時將OpenCarrot后門與Lazarus集團聯系起來。然而,目前尚不清楚這兩個組織是否作為聯合網絡間諜活動的一部分入侵了這家俄羅斯公司。
APT37組織以能源方向誘餌文件投遞Rokrat后門木馬。攻擊者投遞內嵌惡意代碼和PDF文檔的LNK文件,LNK文件運行后從第三方云服務中下載Rokrat后門注入到PowerShell中運行。Rokrat木馬是APT-C-28組織武器化后門軟件,Rokrat木馬可具備獲取計算機敏感信息、上下發文件運行、捕獲屏幕截圖和鍵盤輸入等功能,且慣用云儲存API實現后門指令和文件的下發。
Group123(APT37)組織積極擴展新的攻擊方式,使用偽裝成合法文檔的LNK文件進行攻擊。這些LNK文件一般都比較大,因為里面內嵌了誘餌文檔和混淆過后的PowerShell命令,僅一次雙擊過后即可運行,這或許比單純使用已知的Nday漏洞進行攻擊更為有效。其攻擊流程如下圖所示:
5 月 17 日,研究人員發現了APT37組織的新網絡威脅活動,攻擊者在進行初級網絡釣魚攻擊和偵察活動以竊取受害者的電子郵件密碼后,利用在此過程中識別的網絡瀏覽器和操作系統信息進行基于 macOS 的惡意文件攻擊。此次攻擊對象是韓國境內從事朝鮮人權和朝鮮事務的特定人員。