多變的朝鮮APT37組織正瞄準新目標
近日,與朝鮮有關的被追蹤為APT37的威脅行為者與一種名為M2RAT的新惡意軟件有關,該惡意軟件針對其“南部”對手發起攻擊,表明該組織的特征和策略在不斷演變。
APT37 也以 Reaper、RedEyes、Ricochet Chollima 和 ScarCruft 的綽號進行跟蹤,與朝鮮國家安全部 (MSS) 有關聯,這與隸屬于偵察總局 (RGB) 的 Lazarus 和 Kimsuky 威脅集群不同。
據谷歌旗下的 Mandiant 稱,MSS 的任務是“國內反間諜和海外反情報活動”,APT37 的攻擊活動反映了該機構的優先事項。歷史上,這些行動專門針對叛逃者和人權活動家等個人。
“APT37 評估的主要任務是秘密收集情報,以支持朝鮮的戰略軍事、政治和經濟利益,”這家威脅情報公司表示。
眾所周知,威脅行為者依靠定制工具(如 Chinotto、RokRat、BLUELIGHT、GOLDBACKDOOR 和 Dolphin)從受感染主機收集敏感信息。
“這次 RedEyes Group 攻擊案例的主要特征是它利用了 Hangul EPS 漏洞并使用隱寫技術來分發惡意代碼,”AhnLab 安全應急響應中心 (ASEC) 在周二發布的一份報告中表示。
2023 年 1 月觀察到的感染鏈以一個誘餌韓文文件開始,該文件利用文字處理軟件中現已修補的漏洞 ( CVE-2017-8291 ) 觸發從遠程服務器下載圖像的 shellcode。
JPEG 文件使用隱寫技術來隱藏可移植的可執行文件,該可執行文件在啟動時會下載 M2RAT 植入程序并將其注入合法的 explorer.exe 進程。
雖然持久性是通過修改 Windows 注冊表實現的,但 M2RAT 充當后門,能夠進行鍵盤記錄、屏幕捕獲、進程執行和信息竊取。與 Dolphin 一樣,它也被設計為從可移動磁盤和連接的智能手機中吸取數據。
ASEC 表示:“這些 APT 攻擊很難防御,尤其是 RedEyes 組織以主要針對個人而聞名,因此非企業個人甚至很難識別這種損害。”
這不是 CVE-2017-8291 第一次被朝鮮威脅者武器化。據Recorded Future報道,2017 年末,有人觀察到 Lazarus Group 以韓國加密貨幣交易所和用戶為目標部署 Destover 惡意軟件。
