E安全4月6日讯 思科Talos安全威胁智能小组的研究人员认为，韩国用户再次遭到新型恶意RAT（远程管理工具）攻击，他们将该RAT称为“ROKRAT”。

早在今年2月，思科Talos安全研究人员报告了一起攻击事件，自2016年11月至2017年1月，攻击分子利用韩国办公软件Hangul中的漏洞和来自韩国统一部（Korean Ministry of Unification）的欺骗性文件实施攻击。

朝鲜一直在“默默关注”着韩国？

鉴于这起间谍事件发生在二月朝鲜进行有争议的弹道导弹试验之前，也许是在美韩联合军演前不久。且攻击者使用一个被感染的韩国政府法律服务网站kgls.or.kr将第二有效荷载下载到被感染的设备上，以此散布恶意软件，因此推测这起网络攻击很可能是政府支持型攻击者所为，以此攻击韩国本土办公软件Hangul（한글，中文名：文杰）的用户。

Hangul是韩国应用最广泛的一款软件，对韩国用户而言，Hangul就是Microsoft Office的替代办公软件，在日常生活中的使用率要远远超过韩文版的Office。韩国人处理文档时大多用Hangul生成的HWP格式，学用韩语、与韩国人打交道、看韩国人的文档，这款软件是必备！

考虑到这些因素，这起攻击可能由资金雄厚的组织发起，企图获得韩国最具价值的资产。

外媒曾报道韩国系统经常遭到朝鲜攻击，美国国安局为此也曾访问过韩国系统，意在监视朝鲜。朝鲜曾多次被指责对韩国发起黑客攻击和恶意软件攻击，最臭名昭著的要数2013年针对银行和广播机构发起的Dark Seoul攻击。美国情报机构也曾指责朝鲜2014年入侵索尼影业。因此，朝鲜有很大的嫌疑。

本周一报告的新攻击事件中黑客再次在网络钓鱼电子邮件中使用搭载有效载荷(能将软件病毒传送到用户的电脑上)的Hangul文件，这次的罪魁祸首是ROKRAT。

新型RAT的作用方式

这款RAT使用Twitter、Yandex和Mediafire等合法工具执行命令、控制以及进行数据渗漏，再加上使用HTTPS加密传输协议，防火墙很难发现他们，因此难以全局阻止。

如果这款RAT发现自己已安装在Windows XP上，便会自己陷入无限睡眠；一旦ROKRAT开始执行，它便会检查受害者的进程列表，以查看受害者是否在运行Wireshark等反病毒或分析工具。

Talos指出，如果其中任何进程在执行期间被运行系统发现，这款恶意软件便会跳转到一个虚假功能生成虚假的HTTP流量。此外，如果这款恶意软件被调试，或未从HWP文件执行（即双击二进制文件），或OpenProcess()函数在主进程中取得成功，这个虚假功能也会被调用。

如果在沙盒中执行，ROKRAT试图通过向Amazon和Hulu发送大量请求的方式来隐藏身份。

除了Twitter/Yandex/Mediafire的C2（命令与控制）连接，这款RAT还包含一个截图上传器和键盘记录器。

ROKRAT感染技术的重点在于：使用老旧的Encapsulated PostScript漏洞 “CVE-2013-0808”。该恶意文件包含伪装成Hangul文档的shellcode（就是在利用溢出攻击溢出时要值入的代码,也就是溢出后去执行的代码）。

E安全注：本文系E安全独家编译报道，转载请联系授权，并保留出处与链接，不得删减内容。联系方式：① 微信号zhu-geliang ②邮箱eapp@easyaq.com

@E安全，最专业的前沿网络安全媒体和产业服务平台，每日提供优质全球网络安全资讯与深度思考，欢迎关注微信公众号「E安全」（EAQapp），或登E安全门户网站www.easyaq.com , 查看更多精彩内容。