瑞星捕获疑似朝鲜黑客组织针对韩国发起的APT攻击
近日,瑞星威胁情报平台捕获到两起针对韩国发起的APT攻击事件,通过与以往感染链的对比分析发现,此次事件的攻击者为APT37组织。该组织将恶意文件伪装成压缩包,通过邮件发送给受害者,一旦受害者双击打开快捷方式,便会下载RokRat远控后门,遭到信息被窃、远程控制等攻击。目前,瑞星ESM防病毒终端安全防护系统已可检测并查杀该类恶意程序,广大用户可使用以规避风险。
图:瑞星ESM防病毒终端安全防护系统可查杀相应远控后门
瑞星安全专家介绍,APT37疑似为朝鲜资助的攻击组织,也称为ScarCruft、Reaper、RedEye、Ricochet Chollima。该组织自2012年活跃至今,攻击目标主要是韩国的公共组织和私有企业。2017年,APT37组织将攻击目标范围扩大到日本、越南、中东等地的化学、电子、制造业、航空工业、汽车和医疗等行业。
在最近的两次攻击中,APT37组织分别使用了两份不同的诱饵文档进行攻击,一份以美国与韩国在四月下旬发表的《华盛顿宣言》为背景,由韩国Jeong Seongjang撰写的文章;另一份为首尔空军酒店举办会议的活动日历表,内容包括演讲的时间、顺序以及人员(韩国的重要官员和著名学者)。虽然两份诱饵文档不同,但攻击方式一模一样。
攻击者均利用钓鱼邮件方式,向受害者投递一个含有快捷方式的压缩包,该快捷方式有50MB大小,内置了PowerShell命令,当受害者双击快捷方式文件时,便会执行该命令,在Temp目录下释放诱饵文档与一个名为230509.bat的脚本,而该脚本则会从api.onedrive.com上下载RokRat远控后门加载到主机中,导致受害者中招。
图:攻击流程
麦青儿 最后编辑于 2023-08-01 20:05:57
