APT-C-28(ScarCruft)组织利用恶意文档投递RokRat攻击活动分析
APT-C-28组织,又名ScarCruft、APT37(Reaper)、Group123,是一个来自于东北亚地区的境外APT组织,其相关攻击活动最早可追溯到2012年,且至今依然保持活跃状态。APT-C-28组织主要针对韩国等亚洲国家进行网络攻击活动,针对包括化学、电子、制造、航空航天、汽车和医疗保健等多个行业,其中以窃取战略军事、政治、经济利益相关的信息和敏感数据为主。同时,RokRat是基于云的远程访问工具,从2016年开始一直被APT-C-28组织在多个攻击活动中使用。
近期,360高级威胁研究院捕获了APT-C-28组织假借“付款申请表”等恶意文档向目标投递RokRat恶意软件。本次攻击活动与2021年公开威胁情报披露APT-C-28组织利用VBA自解码技术注入RokRat攻击活动的流程基本一致[1]。在本次攻击活动中,我们发现的初始样本是伪装成“付款申请表”的恶意文档,诱导用户启用宏后下载并执行RokRat恶意软件。不过结合以往公开威胁情报信息[2],此次攻击活动初始载荷应该是钓鱼邮件。一、受影响情况
二、攻击活动分析
1.攻击流程分析
2.载荷投递分析
1.1.载荷投递方式
1.2.恶意载荷分析
MD5 | BF757D55D6B48EC73851540CA7FE9315 |
SHA1 | 8A50A4EE479D9BA2F5525FA899420B30296E3ED8 |
SHA256 | 12ECABF01508C40CFEA1EBC3958214751ACFB1CD79A5BF2A4B42EBF172D7381B |
文件类型 | MS Word Document |
文件名 | 사례비_지급의뢰서.doc |
第一阶段Macro 1
1)C:\Windows\avp.exe(卡巴斯基反病毒软件)
3)C:\Windows\clisve.exe(ViRobot反病毒软件)
第一阶段Macro 2
3.攻击组件分析
第一阶段Shellcode
第二阶段Shellcode
第三阶段RokRat分析
MD5 | 752F1932D21F8D95E35B6778DDEFBC79 |
SHA1 | 0EE5120ECD0E8F07CB7E2AF11C9D403D01ACE38F |
SHA256 | 9970E502A2DB3CECB5109B28D6F26E004F73D9CC64D5A6C75A91D66514576D64 |
文件类型 | PE32 Executable |
编译时间 | 2022-12-22 03:06:16 |
反虚拟机:检查 VMWare 相关文件。 反调试:和以往的RokRat一样,多处使用nop技术(nop dword ptr [eax+eax+00h])来执行反调试。nop dword ptr [eax+eax+00h],是一个五字节的 NOP: 0x0F1F440000,但是部分调试器未能正确支持此操作码。 检测AV:RokRat(2022)在获取目标主机进程列表的同时,也检测当前主机是否运行360安全卫士相关进程,如果当前系统运行了360Tray.exe进程,则后续部分恶意功能不会执行。 识别计算机类型:RokRat使用以下注册表项来获取计算机类型:HKLM\System\CurrentControlSet\Services\mssmbios\Data\SMBiosData。获取的系统制造商值可用于识别计算机类型。 屏幕截图:RokRat获取屏幕截图,保存在tmp文件中,后续会上传到攻击者控制的云服务。 收集系统信息(用户名、计算机名、BIOS)。 文件窃取:窃取目标系统的文件。 获取磁盘文件信息:遍历所有磁盘内文件信息,保存至tmp文件。 命令执行:执行从云服务获取的命令。 获取载荷并执行:RokRat可以获取攻击者下发的下一阶段载荷命名为“KB400928_doc.exe”并执行。 通过CMD命令获取系统信息:RokRat解密所要执行的cmd命令,获取系统信息例如网络信息等。 云服务:在RokRat(2022)中,攻击者使用了Dropbox、Pcloud和Yandex三种云服务来与目标主机进行信息交互,通过云服务下载恶意载荷以及上传用户数据,没有使用Google和Box云服务。
RokRat版本对比
检测AV:RokRat(2022)在获取进程信息时,增加了AV检测。如果检测到360安全卫士相关进程,后续部分恶意功能不会执行。
痕迹清理:在清理目标系统痕迹时执行的命令发生改变,也意味着持久化方式改变。 RokRat(2022):
reg delete HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run /v OfficeBootPower /f & reg delete HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run /v OfficeBootPower /f & del c:\\programdata\\30RokRat(2019/2020): del "%appdata%\Microsoft\Windows\Start Menu\Programs\Startup\*.VBS" "%appdata%\*.CMD" "%appdata%\*.BAT" "%appdata%\*01" "%appdata%\Microsoft\Windows\Start Menu\Programs\Startup\*.lnk" "%allusersprofile%\Microsoft\Windows\Start Menu\Programs\Startup\*.lnk" /F /Q 利用CMD命令获取系统信息:RokRat(2022)在原基础上增加了获取%localappdata%和%allusersprofile%目录下的文件信息。
文件窃取:在获取到C2下发的目录字符后,RokRat(2022)添加了文件类型过滤代码,根据文件类型有选择性窃取文件。
云服务:RokRat(2022)没有使用Box云服务。
RokRat(2022) | RokRat(2019/2020) |
Dropbox Pcloud Yandex | Dropbox Pcloud Yandex Box |
三、归属研判
BF757D55D6B48EC73851540CA7FE9315
https://api.onedrive[.]com/v1.0/shares/u!aHR0cHM6Ly8xZHJ2Lm1zL3UvcyFBdTJteTF4aDZ0OFhkSUpseW14b21abFd2WW8_ZT15SjJTSkk/root/content
[1]https://www.malwarebytes.com/blog/news/2021/01/retrohunting-apt37-north-korean-apt-used-vba-self-decode-technique-to-inject-rokrat
[3]https://medium.com/s2wblog/matryoshka-variant-of-rokrat-apt37-scarcruft-69774ea7bf48
360高级威胁研究院