黑客利用惡意軟件攻擊記者

據悉，與朝鮮政府有聯系的黑客組織正在大量的利用一個被稱為Goldbackdoor的新型惡意軟件來攻擊記者。這種攻擊包括了多個階段的感染活動，其最終目的是要從目標中竊取敏感的信息。研究人員發現，該攻擊活動于今年3月份開始，并且目前正在進行中。

Stairwell的研究人員跟進了韓國NK新聞的一份初步報告，該報告顯示，一個被稱為APT37的朝鮮APT組織已經從一名前韓國情報官員的私人電腦中竊取了信息。根據該報告，該攻擊行為者，也被稱為Ricochet Collima、InkySquid、Reaper或ScarCruft，曾經試圖冒充NK News，并嘗試分發一種新型的惡意軟件。

NK News將這些細節傳遞給了Stairwell進行了更進一步調查。該網絡安全公司的研究人員發現了Goldbackdoor惡意軟件的詳細信息。根據他們在上周末發表的一份報告，該惡意軟件很可能是Bluelight惡意軟件開發者開發的。

研究人員寫道，Goldbackdoor惡意軟件與Bluelight惡意軟件使用了很多相同的技術，這些技術上的重合，很可能是開發者之間共享了開發資源，我們可以有充分的理由將Goldbackdoor歸于APT37。

去年8月，在針對一家韓國報紙社的一系列攻擊中，APT37曾使用Bluelight作為有效載荷，并且在這些攻擊中使用了已知的Internet Explorer的漏洞。

正如Stairwell研究人員所指出的，記者目前是"敵對政府的首選攻擊目標"，并且也經常成為了網絡間諜攻擊的目標。事實上，去年最大的安全事件之一就是各國政府利用非政府組織集團的Pegasus間諜軟件來對記者和其他目標進行攻擊。

Stairwell研究人員寫道："記者的設備中往往存儲有許多重要的文檔文件。有時還包括很多敏感的信息。對記者進行攻擊可以獲得高度敏感的信息，而且還能對他們的消息來源進行額外的攻擊"。

 多階段的惡意軟件

研究人員寫道，當前的攻擊活動從3月18日開始進行，當時NK News與Stairwell威脅研究小組研究了多個惡意的文件，這些文件來自于專門針對朝鮮記者進行攻擊的魚叉式網絡釣魚活動。這些信息是從韓國國家情報局（NIS）的一名前局長的個人電子郵件中發出的。

他們寫道："這些文件中有一個是新的惡意軟件樣本，我們將其命名為Goldbackdoor，它是基于一個嵌入式工件開發的文件”。

研究人員說，Goldbackdoor是一個分多階段進行感染的惡意軟件，它將第一階段的工具和最終的有效載荷分開，這可以使威脅攻擊者在最初的目標被感染后停止惡意文件的部署。

他們在報告中寫道，這種設計可能會限制研究人員針對有效載荷的分析和研究。

該惡意軟件和之前的Bluelight一樣，都會使用云服務提供商的基礎設施來接收攻擊者的命令和竊取的數據。研究人員所分析的樣本使用了微軟OneDrive和Graph APIs，而另外一個確定的SHA256哈希樣本使用了谷歌Drive。

研究人員說，攻擊者在惡意軟件中嵌入了一組API密鑰，其可以用于對微軟的云計算平臺Azure進行驗證，并檢索執行相關的命令。

他們寫道，Goldbackdoor為攻擊者提供了基本的遠程命令執行、文件下載/上傳、鍵盤記錄和遠程卸載等能力，這種功能的設定與Bluelight有密切的關系。但是，Goldbackdoor功能增加的重點放在了文件收集和鍵盤的記錄上。

 第一階段

Goldbackdoor是一個非常復雜的惡意軟件，研究人員將其感染的過程分解成了兩個階段。在第一階段，受害者必須從一個被破壞的網站上下載一個ZIP文件，URL: https[:]//main[.]dailynk[.]us/regex?id=oTks2&file=Kang Min-chol Edits2.zip。研究人員說，域名dailynk[.]us很可能是為了冒充NK新聞（dailynk[.]com）而選擇使用的，并且APT37在以前的攻擊活動中就曾經使用過。

Stairwell研究人員從該網站的DNS歷史記錄中檢索出了ZIP文件進行分析，并且在他們調查時，該網站已經停止了解析。他們發現，該文件創建于3月17日，包含了一個282.7MB的Windows快捷文件LNK，其文件名為Kang Min-chol Edits，這可能是指朝鮮礦業部長Kang Min-chol。

研究人員寫道："攻擊者將這個快捷方式偽裝成了一個文件，他們使用了微軟Word的圖標，并且又添加了類似于Word文檔的注釋。”

他們還為LNK文件填充了0x90字節，即NOP/No Operation，人為地增加了這個文件的大小，他們說這可能是為了防止該文件被上傳到檢測服務或惡意軟件庫的一種保護手段。

研究人員說，一旦開始執行，LNK文件就會執行一個PowerShell腳本，在開始Goldbackdoor的部署過程之前創建并打開一個誘餌文件。

 第二階段

在部署誘餌文件后，PowerShell腳本會解碼第二個PowerShell腳本，然后將下載并執行存儲在微軟OneDrive上的名為 "Fantasy"的shellcode有效載荷。

研究人員說，"Fantasy" 有效載荷是該惡意軟件攻擊的第二階段，同時也是部署Goldbackdoor軟件過程的第一部分。這兩部分都是以獨立的代碼（shellcode）編寫的，其中包含了一個嵌入式有效載荷，并使用進程注入技術來部署惡意軟件。

研究人員說，Fantasy解析和解碼有效載荷的過程，會使用VirtualAllocEx,WriteProcessMemory和RtlCreateUserThread等標準進程，在先前創建的進程下生成一個線程，然后執行它。

最后的攻擊手段是使用一個shellcode有效載荷，并且該線程會在Fantasy創建的進程中運行，執行惡意軟件的最終部署。

研究人員寫道，這個階段交付的有效載荷其實是一個Windows可執行文件。

參考及來源：

https://threatpost.com/hackers-target-journalists-goldbackdoor/179389/