安全星图平台

APT37

APT37是一个疑似来自朝鲜的网络间谍组织，至少从2012年开始就已经活跃，该组织主要针对韩国，日本，越南，俄罗斯，尼泊尔，中国，印度，罗马尼亚，科威特和中东等国家或地区进行攻击。国内主要目标为外贸公司、在华外企高管，甚至政府部门等。

历史活动组织概况 IOC情报

2023-06-07
APT37冒充朝鲜人权组织展开攻击行动安恒威胁情报中心

2023年4月到5月，研究人员捕获了一些APT37组织的样本，攻击者试图以恶意 MS Word DOC 文档文件和 LNK 快捷方式文件进行攻击。APT37组织以在国内的朝鲜人权界负责人的情报为幌子，以另一名朝鲜人权界代表为对象，进行了基于电子邮件的鱼叉式网络钓鱼攻击。
2023-05-24
APT37组织利用恶意文档投递RokRat攻击活动分析安恒威胁情报中心

APT37组织假借“付款申请表”等恶意文档向目标投递RokRat恶意软件。在本次攻击活动中，初始样本是伪装成“付款申请表”的恶意文档，诱导用户启用宏后下载并执行RokRat恶意软件。不过结合以往公开威胁情报信息，此次攻击活动初始载荷应该是钓鱼邮件。当用户启用恶意文档中的宏代码后，会从Macro1的硬编码数据中动态解密出第二个宏代码Macro2。Macro2将硬编码的第一阶段Shellcode注入到Notepad.exe中，之后从攻击者控制的云服务下载加密载荷并对其解密，得到第二阶段Shellcode，最后Shellcode解密硬编码数据获得RokRat恶意软件。
2023-05-16
APT37组织通过LNK文件分发 RokRAT 安恒威胁情报中心

APT37组织通过LNK文件分发了RokRAT恶意软件。LNK 文件包含一个 PowerShell 命令，并在用户不知情的情况下通过在临时路径中创建和执行脚本文件以及普通文件来执行恶意行为。
2023-05-09
APT37组织部署ROKRAT的感染链发生了变化安恒威胁情报中心

自2022年7月以来，APT37组织部署ROKRAT的方法发生了变化。此前，ROKRAT 感染链通常涉及带有漏洞的恶意 Hangul Word Processor（HWP，韩国流行的文档格式）文档，或带有宏的 Microsoft Word 文档。部署方法发生了变化，现在利用包含启动多阶段感染链的 LNK 文件的存档。
2023-04-27
APT37通过LNK文件分发RokRAT 安恒威胁情报中心

APT37组织近期通过LNK文件分发了RokRAT恶意软件。RokRAT能够收集用户凭据并下载其他恶意软件。本次发现的 LNK 文件包含 PowerShell 命令，这些命令可以通过在临时文件夹中创建和执行脚本文件以及普通文件来执行恶意行为。
2023-04-13
APT37组织对韩国地区攻击活动分析安恒威胁情报中心

APT37组织针对韩国多次发起定向攻击行动。在本轮攻击中，该组织前后使用“奖励清单”、“支付”等具有诱导性的文件名，同时使用“加密货币”、“通讯录”等诱饵内容诱导用户执行恶意宏文档。宏文档被允许执行后，会从自身下载或者释放CAB载荷并解压执行其中的脚本文件，进行一系列恶意样本的加载，从而对受害者发动网络攻击，达到窃密目的。本次攻击流程大致如下图所示：APT37组织利用诱饵文件诱导用户点击打开，一旦执行便从远端服务器下载恶意宏模板文件，宏代码主要功能是继续下载CAB文件并解压执行其中check.bat文件，该BAT会判断系统版本及CPU架构，以便在安装服务时根据对应版本选择不同的UAC绕过方式，从而顺利伪装系统服务启动后门模块，达到驻留目的并开启窃密活动。
2023-04-10
APT37组织使用的“Chinotto”后门分析安恒威胁情报中心

APT37在其运营中使用的关键工具之一是Chinotto后门，这一种复杂的恶意软件，为攻击者提供对目标网络的持久访问。Chinotto后门是一个定制的恶意软件，已与APT37相关联，并已在该组织的一些高调攻击中使用。研究人员发布了技术报告，探讨Chinotto后门及其功能，以及APT37在其操作中的使用。
2023-03-28
Scarcruft组织使用新的恶意APK 安恒威胁情报中心

Scarcruft Group（又名 APT37），持续对世界各地的机构和政治组织进行攻击。研究人员发现了APT37组织自 2017 年以来一直使用的移动版 ROKRAT 恶意软件相似的功能和代码，并将恶意 APK命名为“Cumulus”、Cumulus 使用的插件命名为“ Clugin ”。Scarcruft 组织更新了恶意软件的功能或在测试设备上安装了中国特定的应用程序，以针对使用中文和中国制造的移动设备的用户。 Cumulus又名RambleOn，被单独分类为一种现有的 ROKRAT 移动恶意软件，并添加了 FCM 或 Pushy 等消息传递功能。Cumulus 通常伪装成合法的移动应用程序分发，例如 CoinMiner、图像查看器或信使。
2023-03-23
APT37组织攻击向量分析安恒威胁情报中心

APT37 是一个朝鲜APT组织，已于 2023 年 1 月下半月恢复攻击活动，主要针对韩国组织中的个人。它的主要目标是网络间谍活动，使用各种攻击向量分发基于 Chinotto PowerShell 的后门。研究人员发现了APT37组织的 GitHub 存储库，并发现了该组织使用的许多以前未记录的攻击向量、工件和主题。APT37 滥用的文件格式包括 Windows 帮助文件 (CHM)、HTA、HWP (Hancom office)、XLL (MS Excel Add-in) 和基于宏的 MS Office 文件。除了分发恶意软件外，该组织还专注于凭据网络钓鱼攻击。使用 CHM 文件格式启动感染链的攻击链如下：
2023-03-21
APT37组织针对朝鲜叛逃者发起网络间谍活动安恒威胁情报中心

Reaper又名APT37，至少从2012年开始活跃，主要针对非政府组织、持不同政见者、记者和朝鲜叛逃者开展网络间谍活动。研究人员发现了APT37活动中的几个网络钓鱼网页、CHM 感染向量、新的PowerShell 植入程序和Chinotto恶意软件模块，并确定活动的目的是为了对朝鲜叛逃者进行监视。
查看更多