朝鲜APT37针对韩国政府和情报机构发动复杂的鱼叉式网络钓鱼攻击
APT37组织:别名InkySquid、ScarCruft,2012年起活跃,疑似受朝鲜政府支持,主要针对韩国公共及私营部门。
攻击事件核心要点
攻击手法
冒充韩国国家情报研究会内部通讯(第52期),通过伪造PDF文档的LNK(Windows快捷方式)文件传播恶意载荷。
利用朝鲜劳动党副部长金与正的公开声明作为诱饵,针对韩国政府、统一部、韩美同盟及APEC等机构。
恶意载荷
执行后下载RokRAT后门程序(APT37常用工具),具备内存注入、数据窃取及多层加密功能。
使用批处理脚本(tony33.bat等)实现无文件攻击(fileless),并通过XOR加密(密钥0x37)隐藏恶意代码。
目标机构
包括韩国国家情报研究会、高丽大学、国家安全战略研究院、中央劳动经济研究院等。
技术细节与规避手段
感染链:
LNK文件 → 触发恶意脚本 → 解密并注入内存 → 连接C2服务器下载二级载荷(abs.tmp) → 通过PowerShell执行后清除痕迹。
高级规避技术:
伪造HTTP请求(伪装PDF上传)外泄数据。
结合LOLBin(合法系统工具)、内存驻留及流量伪装。
RokRAT的进化:
近期发现其通过HWP文档传播,并采用隐写术(图片隐藏恶意代码)和多阶段加密绕过检测。
攻击手法
冒充韩国国家情报研究会内部通讯(第52期),通过伪造PDF文档的LNK(Windows快捷方式)文件传播恶意载荷。
利用朝鲜劳动党副部长金与正的公开声明作为诱饵,针对韩国政府、统一部、韩美同盟及APEC等机构。
恶意载荷
执行后下载RokRAT后门程序(APT37常用工具),具备内存注入、数据窃取及多层加密功能。
使用批处理脚本(tony33.bat等)实现无文件攻击(fileless),并通过XOR加密(密钥0x37)隐藏恶意代码。
目标机构
包括韩国国家情报研究会、高丽大学、国家安全战略研究院、中央劳动经济研究院等。
技术细节与规避手段
感染链:
LNK文件 → 触发恶意脚本 → 解密并注入内存 → 连接C2服务器下载二级载荷(abs.tmp) → 通过PowerShell执行后清除痕迹。
高级规避技术:
伪造HTTP请求(伪装PDF上传)外泄数据。
结合LOLBin(合法系统工具)、内存驻留及流量伪装。
RokRAT的进化:
近期发现其通过HWP文档传播,并采用隐写术(图片隐藏恶意代码)和多阶段加密绕过检测。
关于作者
评论0次