APT37针对韩国外交部下发RokRAT

事件背景

APT37组织又名Group123、InkySquid、Operation Daybreak、Operation Erebus、Reaper Group、Red Eyes、ScarCruft、Venus 121。该组织至少从2012年开始活跃,主要针对韩国的公共和私营部门。2017年,APT37将其目标扩展到朝鲜半岛之外,包括日本、越南和中东,并扩展到更广泛的垂直行业,包括化学、电子、制造、航空航天、汽车和医疗保健实体。2023年,APT37组织开始针对国内用户进行网络钓鱼,涉及Windows和Android平台。

近日,安恒信息猎影实验室在日常威胁狩猎中发现,APT37组织使用ISO文件针对韩国外交部门进行窃密。其初始攻击负载包含两个有大量无效数据填充的LNK文件,运行后在本机释放HWP诱饵文件及BAT文件,执行Powershell指令下载后续负载,最终解密RokRAT,与合法云服务pCloud通信,下发恶意指令执行。

样本信息

此次捕获样本信息如下:

文件Hash2cd04d9e11c6e458ec16db1ab810d625
上传地区KR韩国
首次上传2023-04-03 12:47:17 UTC
文件格式ISO image
文件大小59.41 MB (62300160 bytes)

详细分析

原始样本为ISO文件,该文件包含两个有大量无效数据填充的LNK文件,不同名的LNK文件运行后释放不同的诱饵文件,其静默执行的指令几乎一致。

第一阶段LNK文件

安恒云沙箱检测到LNK文件包含指令如下,运行后将释放HWP诱饵文件及BAT文件到%temp%目录

图片[1]-APT37针对韩国外交部下发RokRAT-NGC660 安全实验室

HWP诱饵文件主题如下:

诱饵文件1

朝鲜外交官选拔派遣及海外公馆运营情况

图片[2]-APT37针对韩国外交部下发RokRAT-NGC660 安全实验室

诱饵文件2

朝鲜外交决策过程和商务组运营情况

图片[3]-APT37针对韩国外交部下发RokRAT-NGC660 安全实验室

第一阶段BAT文件

BAT文件运行后将加载Powershell指令

图片[4]-APT37针对韩国外交部下发RokRAT-NGC660 安全实验室

沙箱检出到相关指令运行

图片[5]-APT37针对韩国外交部下发RokRAT-NGC660 安全实验室

第一阶段Powershell指令

被加载的Powershell指令将从OneDrive加载下一阶段负载,在内存中异或解密后执行

图片[6]-APT37针对韩国外交部下发RokRAT-NGC660 安全实验室

第二阶段Payload

Payload在内存中再次解密PE执行

图片[7]-APT37针对韩国外交部下发RokRAT-NGC660 安全实验室

沙箱将该文件检出为APT37组织所用的远控木马RokRAT

图片[8]-APT37针对韩国外交部下发RokRAT-NGC660 安全实验室

RokRAT远控木马最早活跃于2017年,最初版本的RokRAT通过利用合法平台Twitter、Yandex、Mediafire进行通信。2019年开始使用Box、Dropbox、pCloud等合法平台API进行通信。主要功能包括获取文件/进程列表、下载后续负载执行、Windows指令执行、云服务令牌信息更新等。

RokRAT部分功能如下:

屏幕截图捕获

图片[9]-APT37针对韩国外交部下发RokRAT-NGC660 安全实验室

远程指令执行

图片[10]-APT37针对韩国外交部下发RokRAT-NGC660 安全实验室

系统信息(用户名、计算机名、BIOS)收集

图片[11]-APT37针对韩国外交部下发RokRAT-NGC660 安全实验室

泄露数据到云服务

图片[12]-APT37针对韩国外交部下发RokRAT-NGC660 安全实验室

文件和目录管理

此次捕获的RokRAT默认从合法云服务器pCloud获取后续执行指令,执行指令及指令含义如下:

执行指令指令含义
c上传指定文件,或根据指令:Normal上传指定文件夹内后缀为.XLS .DOC .PPT .TXT .M4A .AMR .PDF .HWP的文件;All上传指定文件夹内所有文件
d删除自启动列表的VBS及LNK文件、%AppData%路径下的CMD及BAT文件
e执行远程指令
f删除自启动列表的VBS、%AppData%路径下的CMD及BAT文件
h上传根目录下的磁盘文件信息
1|2|3|4新建线程,在内存中执行远程指令,同时获取本机进程、设备信息
5|7|8将后续写入%Tmp%KB400928_doc.exe,并执行
6读取远程指令
9与其他合法服务器建立通信(Dropbox/pCloud/Yandex),读取后续负载并解密

该RAT硬编码的云服务(Dropbox、pCloud、Yandex)URL如下:

图片[13]-APT37针对韩国外交部下发RokRAT-NGC660 安全实验室
图片[14]-APT37针对韩国外交部下发RokRAT-NGC660 安全实验室
图片[15]-APT37针对韩国外交部下发RokRAT-NGC660 安全实验室

截至分析时间,攻击者已更换pCloud账户token,因此无法获取后续。

图片[16]-APT37针对韩国外交部下发RokRAT-NGC660 安全实验室

溯源分析

1脚本代码出现在APT37历史攻击活动中

此次捕获的APT37样本在第二阶段执行的Powershell指令,与Stairwell此前报告中的Powershell脚本高度相似。

图片[17]-APT37针对韩国外交部下发RokRAT-NGC660 安全实验室

与之不同的是,此前样本的初始阶段采用ZIP格式文件,包含的LNK文件运行后直接执行本文中第一阶段BAT文件中的内容。

由此可见,该组织在2023年对其感染链进行了进一步扩充,在原有的执行流程前加密了恶意指令,加大了静态检测的难度。

2此次样本后续为APT37组织常用RAT

此次捕获样本在最后阶段将释放APT37组织常用的RokRAT。该RAT具有多种远控功能,且善用合法云服务规避流量检测。

由于该RAT功能完善,几乎不需要再新增远控功能,但其在代码规避方面仍然有所改进,例如对硬编码指令进行加密等。

图片[18]-APT37针对韩国外交部下发RokRAT-NGC660 安全实验室

本文作者:安恒威胁情报中心

转载请注明来自FreeBuf.COM

© 版权声明
THE END
喜欢就支持一下吧
点赞13赏点小钱 分享