APT37针对韩国外交部下发RokRAT-NGC660 安全实验室

一事件背景

APT37组织又名Group123、InkySquid、Operation Daybreak、Operation Erebus、Reaper Group、Red Eyes、ScarCruft、Venus 121。该组织至少从2012年开始活跃，主要针对韩国的公共和私营部门。2017年，APT37将其目标扩展到朝鲜半岛之外，包括日本、越南和中东，并扩展到更广泛的垂直行业，包括化学、电子、制造、航空航天、汽车和医疗保健实体。2023年，APT37组织开始针对国内用户进行网络钓鱼，涉及Windows和Android平台。

近日，安恒信息猎影实验室在日常威胁狩猎中发现，APT37组织使用ISO文件针对韩国外交部门进行窃密。其初始攻击负载包含两个有大量无效数据填充的LNK文件，运行后在本机释放HWP诱饵文件及BAT文件，执行Powershell指令下载后续负载，最终解密RokRAT，与合法云服务pCloud通信，下发恶意指令执行。

二样本信息

此次捕获样本信息如下：

文件Hash	2cd04d9e11c6e458ec16db1ab810d625
上传地区	KR韩国
首次上传	2023-04-03 12:47:17 UTC
文件格式	ISO image
文件大小	59.41 MB (62300160 bytes)

三详细分析

原始样本为ISO文件，该文件包含两个有大量无效数据填充的LNK文件，不同名的LNK文件运行后释放不同的诱饵文件，其静默执行的指令几乎一致。

第一阶段LNK文件

安恒云沙箱检测到LNK文件包含指令如下，运行后将释放HWP诱饵文件及BAT文件到%temp%目录

HWP诱饵文件主题如下：

诱饵文件1

朝鲜外交官选拔派遣及海外公馆运营情况

诱饵文件2

朝鲜外交决策过程和商务组运营情况

第一阶段BAT文件

BAT文件运行后将加载Powershell指令

沙箱检出到相关指令运行

第一阶段Powershell指令

被加载的Powershell指令将从OneDrive加载下一阶段负载，在内存中异或解密后执行

第二阶段Payload

Payload在内存中再次解密PE执行

沙箱将该文件检出为APT37组织所用的远控木马RokRAT

RokRAT远控木马最早活跃于2017年，最初版本的RokRAT通过利用合法平台Twitter、Yandex、Mediafire进行通信。2019年开始使用Box、Dropbox、pCloud等合法平台API进行通信。主要功能包括获取文件/进程列表、下载后续负载执行、Windows指令执行、云服务令牌信息更新等。

RokRAT部分功能如下：

屏幕截图捕获

远程指令执行

图片[10]-APT37针对韩国外交部下发RokRAT-NGC660 安全实验室

系统信息（用户名、计算机名、BIOS）收集

图片[11]-APT37针对韩国外交部下发RokRAT-NGC660 安全实验室

泄露数据到云服务

图片[12]-APT37针对韩国外交部下发RokRAT-NGC660 安全实验室

文件和目录管理

此次捕获的RokRAT默认从合法云服务器pCloud获取后续执行指令，执行指令及指令含义如下：

执行指令	指令含义
c	上传指定文件，或根据指令：Normal上传指定文件夹内后缀为.XLS .DOC .PPT .TXT .M4A .AMR .PDF .HWP的文件；All上传指定文件夹内所有文件
d	删除自启动列表的VBS及LNK文件、%AppData%路径下的CMD及BAT文件
e	执行远程指令
f	删除自启动列表的VBS、%AppData%路径下的CMD及BAT文件
h	上传根目录下的磁盘文件信息
1\|2\|3\|4	新建线程，在内存中执行远程指令，同时获取本机进程、设备信息
5\|7\|8	将后续写入%Tmp%KB400928_doc.exe，并执行
6	读取远程指令
9	与其他合法服务器建立通信（Dropbox/pCloud/Yandex），读取后续负载并解密