APT-C-28(ScarCruft)组织针对能源方向投放Rokrat后门活动分析
APT-C-28(ScarCruft)组织又名APT37(Reaper)、Group123,是一个来自于东北亚地区的境外APT组织,其相关攻击活动最早可追溯到2012年,且至今依然保持活跃状态。APT-C-28组织主要针对韩国等亚洲国家进行网络攻击活动,针对包括化学、电子、制造、航空航天、汽车和医疗保健等多个行业,其中以窃取战略军事、政治、经济利益相关的情报和敏感数据为主。
近期,360高级威胁研究院捕获到APT-C-28(ScarCruft)组织的一起以能源方向诱饵文件投递Rokrat后门木马的攻击活动,攻击者投递内嵌恶意代码和PDF文档的LNK文件,LNK文件运行后从第三方云服务中下载Rokrat后门注入到PowerShell中运行。Rokrat木马是APT-C-28组织武器化后门软件,Rokrat木马可具备获取计算机敏感信息、上下发文件运行、捕获屏幕截图和键盘输入等功能,且惯用云储存API实现后门指令和文件的下发。一、受影响情况
攻击者以Sharara到Mellitah 石油管道信息向目标人员进行投递,该石油管道位于利比亚承担从利比亚Wadi al-Hayaa区到利比亚Nuqat al Khams区的石油输送任务。
二、攻击活动分析
1.攻击流程分析
完整的攻击流程如下:
2.恶意载荷分析
3.攻击组件分析
由OneDrive中下载执行的Rokrat木马与以往APT-C-28组织中攻击活动中所使用的基本变化不大。利用公共云盘进行指令通行、文件下发上传,获取计算机名称、用户名、BIOS、系统版本等敏感信息,以及通过判断vmtoolsd版本用来确定是否在虚拟环境。
攻击者在样本中搭载了pcloud、Yandex、Dropbox等三个云盘的API利用方法以及要使用的云盘token。
确认token有效后使用API从云盘指定目录获取后门指令信息用于攻击指令下发。
字符指令 | 功能 |
0,g | 重连 |
1,2,3,4,5,7,8 | 无 |
i | 屏幕截图并上传 |
j,b | 退出 |
d,f | 指定命令执行,删除指定目录文件 |
h | 遍历目录输出到文件并上传 |
e | 命令执行 |
c | 指定文件上传 |
9 | 下发文件到指定目录 |
此处捕获的Rokrat木马与以往披露的Rokrat版本变化不大,从文件命名、代码结构以及后门功能都变化不大。网络行为中更是沿用了以往惯用Content-Type信息。
以往报告所披露的Rokrat木马中使用的Content-Type字段信息。
85e71578ad7fea3c15095b6185b14881
4D3464B23DD4FB141C8FCC4CBF541832
7B7C43ED1EB6A423BDCFD0484FE560C3
2C180BF7A1E6DBE84060C3B5AA53FEB7(PDF)
4FE698C235D03A271305DB8FFDAA9E36(OneDrive下载密文)
https://api.onedrive.com/v1.0/shares/u!aHR0cHM6Ly8xZHJ2Lm1zL3UvcyFBalFOTHZFRV9DVU9iUFdnLXhPZG8xRXFYckU_ZT1BM1QwV2Q/root/content
https://www.cisa.gov/news-events/analysis-reports/ar20-133d
360高级威胁研究院