◈ 执行摘要
- 国家支持的 APT37 组织的秘密网络侦察活动分析
- 收集攻击目标的IP地址(位置信息)、Web浏览器、操作系统等信息
- 以快捷方式(lnk)恶意文件为主要策略的威胁实体
- 需要积极引入异常行为检测响应解决方案(EDR)来加强终端安全。
1. 概述
APT37组织被称为国家网络安全威胁组织,正在主导针对韩国的各种网络间谍活动。打击对象主要是朝鲜人权团体、脱北者、报道朝鲜的记者以及统一、国防、外交安全、朝鲜等领域的专家教授。
“Genius 安全中心(GSC)”已发布多份 APT37 活动类型的 CTI 分析报告。代表性事例有△冒充朝鲜人权组织、△ macOS用户攻击、△ CVE-2022-41128漏洞、△ RoKRAT分析案例等。
威胁行为者非常有兴趣避免检测到主要的基于反病毒的签名,以成功渗透设备。在监控他们的活动时,GSC 发现了一个有趣的行为模式。
我们利用事先准备好的威胁基础设施反复进行初步侦察,收集了必要的基本信息。为了正确应对这些攻击策略,越来越需要建立端点检测和响应(EDR),它可以收集和分析终端事件流,并广泛地分析和确定以前未知的异常行为本身。
2. 背景
首先,我们想看一下去年四月发现的一个案例。当时,这次攻击被伪装成是以一位现任大学教授的名义发送的,而该教授此前曾担任过特定的公职职位。该设计的设计就好像附加了一封标题为“四月朝鲜趋势”和“朝鲜趋势.docx”文档的电子邮件。该电子邮件是从 VPN IP 地址“61.97.243[.]2”发送的。
[
[图1]伪装成“朝鲜动向”文件的攻击案例
屏幕上显示的文档文件并未直接附加到电子邮件中,而是从“navarar[.]com”地址分发,该地址的创建类似于国内门户网站公司的域名。这里下载的压缩文件中的“朝鲜趋势.lnk”文件是典型的快捷方式型恶意代码。
该快捷方式文件包含一个名为“North Korean Trends.docx”的普通文档和一个用于欺骗用户的恶意PowerShell命令。峰会文件实际上包含了朝鲜四月份动向的信息。
[图2]攻击中使用的正常文档内容
分析lnk文件时发现,其中隐藏着一个经过异或逻辑加密的RoKRAT恶意模块。您还可以看到 APT37 典型的 pCloud API 通信技术和字符串值“--wwjaughalvncjwiajs––”。
分析lnk文件时发现,其中隐藏着一个经过异或逻辑加密的RoKRAT恶意模块。您还可以看到 APT37 典型的 pCloud API 通信技术和字符串值“--wwjaughalvncjwiajs––”。
【图3】RoKRAT恶意模块代码分析内容
此外,还包括从用户终端搜索和收集各种文档和智能手机记录文件扩展名的功能。
[
【图4】终端信息采集功能界面
可能发生泄漏的扩展部分如下。
- .XLS
- .DOC
- .PPT
- 。TXT
- .M4A
- .AMR
- .HWP
3. 类似恶意软件
如前所述,RoKRAT 模块于去年 4 月通过许多快捷方式 (lnk) 文件分发。
查出的主要文件名包括△设施清单.lnk△东北项目(国会研究服务(CRS报告).lnk)△门禁名册2024.lnk△国家信息学院第八期综合课程证书(最终版).lnk。
在每个 lnk 文件中,都有一个隐藏的 RoKRAT 模块,其名称为“panic.dat”或“viewer.dat”。根据变体,调用是通过“price.bat”(或“find.bat”)和“para.dat”(或“search.dat”)文件进行的。当然,在此之前使用过各种文件名,例如“public.dat”和“docu1.dat”。
[图4-1]威胁流程图
威胁行为者有时会使用 Google Gmail 帐户注册云服务。已确定的代表性电子邮件帐户包括:
- tanesha.samuel@gmail.com
- tianling0315@gmail.com
- w.sarah0808@gmail.com
- softpower21cs@gmail.com
- sandozmessi@gmail.com
“panic.dat”文件通过 shellcode 例程执行加密的 RoKRAT 模块。
[图4-2]Shellcode解码界面
泄露的扩展与前面背景中描述的相同。
在主线程执行期间,RoKRAT 指令用于控制受害系统并根据情况条件执行各种功能。
例如,“-e”条件通过ShellExecuteW函数调用“cmd.exe”命令,“-c”条件收集具有上述特定文档和记录扩展名的文件并将其导出到C2服务器。
[图4-3]根据RoKRAT条件语句的执行函数
泄露的扩展与前面背景中描述的相同。
4. 侦察场景
新的侦察活动将在上述题为“四月朝鲜动向”的鱼叉式网络钓鱼攻击发生约三天后进行。
[图5]用于侦察活动的电子邮件
电子邮件主题包含拼写错误,似乎在输入附件名称作为主题时出现错误。作为附件包含的“朝鲜网络恐怖主义讲座材料.pptx”文件是普通文档文件。
有趣的是,它包含与传播lnk恶意文件的电子邮件正文相同的句子。
| 日期 | 2024-04-23 | 2024-04-26 |
| 电子邮件主题 | 4月朝鲜动向 | 朝鲜网络Tere讲座材料.pptx |
| 源IP | 61.97.243[.]2 [韩国] | 61.97.243[.]2 [韩国] |
| 文字对比(部分) | 请查看并提供 <br> <br>从我的 Galaxy 发送的反馈。 | 我正在向您发送我准备好的讲座材料, <br>请查看并给我们您 <br> <br>从我的银河发送的积极反馈。 |
| 附件文件名 | 朝鲜趋势.docx | 朝鲜网络恐怖主义讲座材料.pptx |
| 攻击策略 | LNK 快捷方式传递恶意文件 | 发送正常的pptx文档 |
| 命令控制(C2) | 纳瓦拉[.]com | 不适用 |
| 158.247.249[.]129 [韩国] | 不适用 |
[表1]电子邮件内容比较
除了源 IP 地址之外,电子邮件正文中还使用了相同的表达方式。这样,威胁行为者不仅会传递恶意文件。发送正常内容以降低怀疑或诱导回复,为后续攻击做好准备。通过这些侦察活动,你可以收集初步渗透所需的周围信息。
与此同时,9月27日,多封题为“朝鲜绑架平民损害国际研讨会”的电子邮件被散发。该电子邮件似乎附有“韩日绑架问题研讨会材料.pdf”文档。并且确认该电子邮件地址为“108.181.50[.]58”VPN 地址。
【图6】韩日绑架问题研讨会附材料伪装侦察
然而,相关电子邮件是链接到特定服务器的文件,如标题为“四月朝鲜趋势”的示例。连接的位置是“filedownloadserve[.]com”域,并且两个 IP 用作被动 DNS 历史记录。
| 域名地址 | IP地址 | 国家代码 |
| filedownloadserve[.]com | 158.247.219[.]10 | [韩国] |
| 141.164.60[.]110 | [韩国] | |
| kakaofilestorage[.]com | 158.247.219[.]10 | [韩国] |
| 141.164.62[.]19 | [韩国] |
[表2] C2服务器信息
特别是,“联合国安理会报告”第567页中提到发送电子邮件的“108.181.50[.]58”VPN地址是涉嫌与朝鲜相关的虚拟资产威胁活动的IP地址。
作为参考,您可以看到同一威胁行为者在 2023 年使用的 IP 频段相似。下面的IP地址是实际攻击中使用的重要指标,但也必须从时间序列的角度考虑其易变性。
| 108.181.50[.]58 | 108.181.52[.]169 |
| 108.181.52[.]229 | 108.181.52[.]231 |
| 108.181.52[.]234 | 108.181.52[.]235 |
| 108.181.52[.]236 | 不适用 |
[表3] 2023年确定的IP频段
同时,对比去年4月和9月发现的附件链接地址,可以看到虽然域名地址发生了变化,但通信参数值是相同的模式。
| 2024-04-23 (APT37 RoKRAT) | 2024-09-27 |
| 朝鲜趋势.docx | 韩日绑架问题研讨会资料.pdf |
| navarar[.]com/files/ <br>files?type=(计数) <br>&created=(Base64 电子邮件) | filedownloadserve[.]com/download/ <br>files?type=(计数) <br>&created=(Base64 电子邮件) |
| 158.247.249[.]129 [韩国] | 158.247.219[.]10 [韩国] |
[表4] C2因子值比较
随后,9月30日,冒充韩国广播公司涉朝时事节目记者或作家执行侦察任务。 10月7日,有人试图冒充前国家公务员要求审查讲课计划。在本例中,使用了缩短的 URL 服务,但最终的连接域是相同的。
【图7】以统一时事教育计划为幌子的侦察活动
10 月 12 日,我们将使用不包含附件或链接的侦察方法。当时,威胁行为者伪装成朝鲜人权领域的专家,并具有伪装成新注册的电子邮件通知的特征。
在这种情况下,没有单独的链接或附件,并且通过在电子邮件正文中插入“img src”标签来使用网络信标侦察方法。
【图8】采用web beacon侦察技术的屏幕
网络信标最初用作用户跟踪技术。用于检查收件人是否访问了网页或电子邮件上的某些内容,通常用于纯粹的网页访问统计或检查回执。
威胁行为者滥用此功能并将其用作初始侦察数据,例如收件人的 IP(本地信息)地址或网络浏览器(OS)信息。这些数据用于全面渗透所需的分析。
5. 威胁基础设施暴露
除了与相关组织密切合作之外,招募用作威胁基地的服务器基础设施或按照程序进行内部调查的过程需要大量时间。然而,在某些情况下,由于威胁行为者错误地设置了服务器访问权限,内部数据被暴露给外界(Opsec 失败)。
在本例中,服务器用作侦察服务器,服务器设置存在问题,日志记录对外界可见。
[图9]显示部分侦察基础设施暴露的屏幕
我们在9月底左右进行了多次自测,然后进行全面侦察,在此期间记录了威胁行为者使用的一些IP地址。 IP地址还用于发送配备信标功能的电子邮件。
当暴露于信标传感器时,会收集用户的 IP、用户代理等。威胁行为者可以根据IP地址选择阻止功能。通过这种方式,可以将某些IP频段排除在侦察之外,用于避免分析等目的。
通过传递链接到 Dropbox 地址的正常(文档)文件,可以最大程度地减少用户的怀疑。通过侦察活动,我们正在检查攻击目标的反应,并收集未来全面攻击所需的基本信息。
威胁背后的人使用各种 ID 进行侦察活动,最具代表性的 ID 如下。他们主要冒充△前政府官员、△媒体记者、△广播公司作家、△与朝鲜有关的媒体、△节目开发商、△朝鲜人权领域的专家。
- c039911
- kirnchi122
- nkhumans
- sjwarng3670
- shjhe777
- moonjongjo
- hanzak99
- l026star1ove
- sujan2024
- samuel19920411
- alchemist880808
- senior.developer8688
- hyook.iri
- dailynk23
- nknews23
- komonrodny
- johnbahu
- Dante胡
- 但丁
六、结论与回应
来自国家支持的黑客组织的网络威胁日益复杂。通过该 APT37 基础设施识别了威胁行为者的智能侦察活动,并确认了其实际访问记录。
因此,组织和公司需要了解网络威胁的最新趋势,并根据技术攻击的难度获得各种见解。
7. IOCS
● MD5
5f6682ad9da4590cba106e2f1a8cbe26
7a66738cca9f86f4133415eedcbf8e88
105ecd9f6585df4e1fe267c2809ee190
852544f01172b8bae14ec3e4d0b35115
358122718ba11b3e8bb56340dbe94f51
acf4085b2fa977fc1350f0ddc2710502
b85a6b1eb7418aa5da108bc0df824fc0
e4ddd5cc8b5f4d791f27d676d809f668
● C2
filedownloadserve[.]com
kakaofilestorage[.]com
navarar[.]com
108.181.50[.]58
158.247.219[.]10
158.247.249[.]129
141.164.62[.]19
141.164.60[.]110
223.104.236[.]114
175.214.194[.]61
61.97.243[.]2
