APT37组织又名Ricochet Chollima,据信是由朝鲜政府支持的APT组织。研究人员发现,APT37组织以朝鲜记者为目标,通过钓鱼攻击传播了名为“Goldbackdoor”的新型恶意软件。研究人员以中高置信度评估 GOLDBACKDOOR 是恶意软件 BLUELIGHT 的继承者,或与恶意软件 BLUELIGHT 并行使用。
APT37组织又名ScarCruft、Group123、InkySquid或Temp.Reaper,自2012年以来一直活跃,是与朝鲜政府有关的APT组织。研究人员发现,自 2019 年以来,APT37组织一直在使用名为 Chinotto 的间谍软件,针对脱北者(朝鲜叛逃者)、韩国记者和政府组织进行间谍活动。 APT37使用盗取的Facebook帐户凭据,与受害者的同事和熟人联系以建立初步联系,随后发送鱼叉式网络钓鱼电子邮件。邮件包含受密码保护的 RAR 存档,密码显示在电子邮件正文中。RAR 文件包含恶意 Word 文档。该文件包含与朝鲜有关的诱饵。鱼叉式网络钓鱼电子邮件和诱饵如下图:
研究人员捕获了与朝鲜有关的APT组织“Kimsuky(又名Thallium)”的最新攻击活动,此次攻击的目标是研究朝鲜领域问题的专家。与传统的鱼叉式网络钓鱼攻击不同,攻击者并不是将恶意文件作为电子邮件附件发送,而是使用社会工程网络钓鱼技术,诱导用户点击政治新闻正文中的 URL 链接地址。 简况钓鱼邮件伪装成NAVER新闻,显示的是前总统卢泰愚的女婿崔泰源会长在首尔大学医院殡仪馆的灵堂进行了吊唁,以此降低了受害者的警戒心。钓鱼邮件中使用的词组和伪造的虚假网站页面均引用了实际媒体公司的真实新闻报道。伪装成真实新闻的钓鱼邮件如下图:
2021 年 4 月,研究人员通过对客户网络的网络安全监控,发现了Daily NK网站上的恶意代码。DailyNK是专门报道朝鲜消息的韩国网络媒体,定期报告朝鲜发生的新闻,致力于为朝鲜人权的实现和民主化营造国内外舆论。攻击者在活动中利用了CVE-2020-1380以及CVE-2021-26411漏洞,并且使用了新型恶意软件BLUELIGHT。目前,研究人员已将此次攻击活动归因于APT37组织(又名 InkySquid、ScarCruft)。 简况2021 年 4 月,研究人员发现可疑代码通过 www.dailynk[.]com 加载到jquery[.]services 的恶意子域。攻击者修改了Daily NK 网站合法文件的内容,包括重定向用户以从攻击者的恶意子域加载恶意 JavaScript 的代码。恶意代码只在短时间内添加并被迅速删除,因此此攻击活动很难被识别。研究人员观察到攻击者使用了Internet Explorer的一个漏洞CVE-2020-1380,在Daily NK的合法文件中添加了混淆代码,如果用户使用 Internet Explorer访问Daily NK,则页面将加载额外的 JavaScript 文件。攻击者也使用了CVE-2021-26411,这是另一个针对 Internet Explorer 和 Microsoft Edge 旧版本的漏洞。重定向代码的设置方式与 CVE-2020-1380 相同,但使用的漏洞利用代码不同。在两种情况中,攻击者都利用存储在 SVG 标签中的编码内容来存储密钥字符串及其初始负载。所使用的漏洞利用代码如下图:
2020年12月7日,研究人员发现一个上传到Virus Total的恶意档,该文件据称是一个与韩国政府相关的会议请求文档。文件中提到的会议日期是2020年1月23日,与2020年1月27日的文件编制时间一致,这表明该攻击发生在一年前。该文档包含一个嵌入式宏,宏代码使用VBA自解码技术在Microsoft Office的存储空间内对其自身进行解码,而无需写入磁盘。然后将RokRat的变体注入到notepad.exe中。我们认为该样本与APT37相关。这个北朝鲜组织也被称为ScarCruft,Reaper和Group123,并且至少从2012年开始活跃,主要针对目标为韩国用户。
近日,韩国安全厂商ESRC发现“Fake Striker”APT活动与黑客组织 Thallium 有直接关系。微软于2019年12月18日向弗吉尼亚联邦法院提起针对该组织的投诉,并于12月30日在其官方博客上发布了相关信息,揭露该组织的主要攻击目标为政府官员,智囊团研究人员,大学职员,人权团体和成员。据ESRC分析,该组织正伪装成韩国的主要机构或社会官员进行网络攻击。朝鲜叛逃者,朝鲜研究人员和朝鲜人权组织也在其攻击目标中。该组织在针对韩国进行攻击所使用的典型方法为将恶意代码嵌入韩国常用的hwp和Word(doc)等文档文件中,然后将其传递到每个受害者的电子邮件。通过未授权访问,将正常电子邮件正文中的附件替换为恶意附件,然后重新发送。
最近,微软起诉了黑客组织Thallium,并成功接管了该组织运营的50个威胁域。Thallium是一个来自于朝鲜的攻击组织,通常使用鱼叉式网络钓鱼技术针对包括政府、高等院校等目标,大多数目标位于美国、日本和韩国。该组织至少从2018年5月起,发起了名为STOLEN PENCIL的鱼叉式钓鱼攻击活动,针对学术机构,以窃取凭据信息。同时,还使用了名为BabyShark的恶意软件来收集东北亚国家安全问题有关的情报。 参考信息
ASERT发现了可能来自朝鲜的APT活动,此活动至少从2018年5月以来一直瞄准学术机构并被称为“STOLEN PENCIL”。攻击背后的最终动机尚不清楚,但攻击者擅长隐藏行踪。通过向目标发送鱼叉式网络钓鱼电子邮件,将其引导至显示诱饵文档的网站,并立即提示安装恶意Google Chrome扩展程序。一旦获得立足点,威胁参与者就会使用现成的工具来确保持久性,包括远程桌面协议(RDP)以维持访问。通过攻击者使用的网络钓鱼域名可以分析出此次活动专注攻击学术界,并且许多大学的受害者都拥有生物医学工程专业知识。
腾讯威胁情报中心检测到针对中韩贸易相关人士的钓鱼攻击活动,该活动疑似来自于朝鲜黑客组织Group123(APT37)。使用的诱饵名字包括韩文和英文的.rar文档。解压后伪装成word图标和名字的可执行文件,该执行文件实际为一个下载器,下载器通过请求链接地址http://artmuseums[.]or.kr/swfupload/fla/1.jpg下载一个隐藏了RAT代码的jpg文件。木马会从同目录的配置文件中获取C2信息,然后对指定目录下的指定扩展名文件进行扫描打包,上传到C2服务器。C2域名为韩国博物馆网站,分析人员推测,攻击者先攻击了该网站,然后将其作为C2,以此来躲避查杀。
我们最近在这个演员身上发现了一些有趣的遥测,并决定深入研究ScarCruft最近的活动。这表明演员仍然非常活跃,并不断尝试详细说明其攻击工具。根据我们的遥测技术,我们可以重新组装ScarCruft的二元感染程序。它使用多阶段二进制感染来有效地更新每个模块并逃避检测。