APT-C-28(ScarCruft)组织利用恶意LNK文件投递RokRat攻击的活动分析
APT-C-28(ScarCruft)组织,也被称为APT37(Reaper)和Group123,是一个源自东北亚地区的APT组织。该组织的相关攻击活动最早可追溯到2012年,并且一直保持到现在仍然十分活跃。APT-C-28主要聚焦于对韩国和其他亚洲国家进行网络攻击行动,其目标涵盖了化学、电子、制造、航空航天、汽车以及医疗保健等多个关键行业。该组织的主要目的在于窃取与战略军事、政治和经济相关的重要、敏感数据。
此外,RokRat是一种基于云的远程访问工具,自2016年以来就一直是APT-C-28在其众多攻击活动中频繁使用的工具。RokRat的持续使用表明该工具在帮助APT-C-28实现其复杂的情报窃取活动方面扮演了关键角色。通过这种高级的远程访问工具,APT-C-28能够有效地渗透目标网络,窃取关键信息,并对受害者进行长期的监控。
360高级威胁研究院监测到APT-C-28组织在进行一次精心策划的网络攻击。该组织利用伪装成“朝鲜人权专家辩论”的恶意LNK文件,作为向目标传递RokRat恶意软件的手段。我们在这次攻击中捕获的初始样本是一个压缩文件,里面含有伪装的恶意LNK文件。当执行这个LNK文件时,它会诱导用户下载并运行RokRat恶意软件。根据以往的公开威胁情报资料,我们推断这次攻击的初始载荷很可能是通过钓鱼邮件发送的。
一、攻击活动分析
1.攻击流程分析
2.载荷投递分析
2.1.载荷投递方式
根据我们分析的公开威胁情报资料,我们推测这次网络攻击的初始载荷很可能是通过恶意邮件传播的。不过我们目前只能捕获到涉及的压缩文件和恶意LNK文件。这个恶意LNK文件包含的代码被用来下载并加载后续的攻击载荷。
2.2.恶意载荷分析
MD5 | D11D3032E7C38FA314A55AC4B5E61C5D |
SHA1 | 47E54EE76620AA2F50DFCC120E60BB20B9CD534F |
SHA256 | 3FD02C7057EF1324AD74714A7FC4B00AC338CFB172A788D98E5A781548B8F027 |
文件类型 | Windows shortcut |
文件名 | 북한인권전문가토론회.lnk |
1).利用 user32.dll 动态链接库隐藏命令行窗口,以减少用户的警觉性;
2).在特定目录搜索特定大小的.lnk 文件,并对其进行一系列操作:从.lnk 文件中提取嵌入的 PDF 文件并将其保存在相同目录下,接着执行该 PDF 文件;
3).提取一个内嵌的可执行文件并以.dat格式保存在系统的Public目录;
4).提取并保存一个批处理文件(.bat),命名为 북한인권전문가토론회061223.bat,并存储在 Public 目录中,随后执行它。
5).在执行这些操作之后,脚本清理其痕迹,删除原始的.lnk 文件,并终止执行。
1).从指定Dropbox 链接下载数据;
3.攻击组件分析
Shellcode分析
RokRat分析
MD5 | 4E231F708755A69AF49C8DE135A8E25E |
SHA1 | C280FC3538BFE163C981A89D7509823E8C9FB060 |
SHA256 | A9CBB1927B391173265FF7A4FDEFED59AFEDDD5B245A2A58C2637B01F87F6119 |
文件类型 | PE32 Execurable |
编译时间 | 2023-12-02 11:02:17 |
0,g
i
j,b
d
执行删除特定文件的命令,如删除启动项、批处理文件等,然后退出。
(命令执行:
del"%appdata%\Microsoft\Windows\Start Menu\Programs\Startup\*.VBS" "%appdata%\*.CMD" "%appdata%\*.BAT"
"%appdata%\*01" "%appdata%\Microsoft\Windows\Start Menu\Programs\Startup\*.lnk" "%allusersprofile%\Microsoft\Windows\Start Menu\Programs\Startup\*.lnk" /F /Q)
f
执行删除特定文件的命令,随后退出。
(命令执行:
del "%appdata%\Microsoft\Windows\Start Menu\Programs\Startup\*.VBS" "%appdata%\*.CMD" "%appdata%\*.BAT" "%appdata%\*01" /F /Q)
h
遍历系统上的所有逻辑驱动器,获取驱动器所有文件信息并上传。
e
c
1,2,5,6
3,4,7,8,9
1,2,3,4
(命令执行:
tasklist>>"%temp%\r.txt" & echo == Startup ==>>"%temp%\r.txt" & dir /a "%appdata%\Microsoft\Windows\Start Menu\Programs\Startup">>"%temp%\r.txt" & dir /a "%allusersprofile%\Microsoft\Windows\Start Menu\Programs\Startup">>"%temp%\r.txt" & echo == Info ==>>"%temp%\r.txt" & systeminfo>>"%temp%\r.txt" & echo == Route ==>>"%temp%\r.txt" & route print>>"%temp%\r.txt" & echo == Ip ==>>"%temp%\r.txt" & ipconfig /all>>"%temp%\r.txt" & echo == arp ==>>"%temp%\r.txt" & arp -a>>"%temp%\r.txt" & echo == Recent ==>>"%temp%\r.txt" & dir /a "%appdata%\Microsoft\Windows\Recent">>"%temp%\r.txt" & echo == WMIC ==>>"%temp%\r.txt" & wmic startup >> "%temp%\r.txt" & echo == Local ==>>"%temp%\r.txt" & dir /a "%localappdata%">>"%temp%\r.txt" & echo == ProgD ==>>"%temp%\r.txt" & dir /a "%allusersprofile%">>"%temp%\r.txt")
5,6,7,8,9
RokRat(2023)
del "%appdata%\Microsoft\Windows\Start Menu\Programs\Startup\*.VBS" "%appdata%\*.CMD" "%appdata%\*.BAT" "%appdata%\*01" "%appdata%\Microsoft\Windows\Start Menu\Programs\Startup\*.lnk" "%allusersprofile%\Microsoft\Windows\Start Menu\Programs\Startup\*.lnk" /F /Q
RokRat(2022)
reg delete HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run /v OfficeBootPower /f & reg delete HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run /v OfficeBootPower /f & del c:\\programdata\\30
RokRat(2019/2020)
del "%appdata%\Microsoft\Windows\Start Menu\Programs\Startup\*.VBS" "%appdata%\*.CMD" "%appdata%\*.BAT" "%appdata%\*01" "%appdata%\Microsoft\Windows\Start Menu\Programs\Startup\*.lnk" "%allusersprofile%\Microsoft\Windows\Start Menu\Programs\Startup\*.lnk" /F /Q
二、归属研判
三、防范排查建议
1.电子邮件筛选和审查: 加强对电子邮件的筛选和审查措施。对未经请求的或来自不明来源的邮件保持警惕,尤其是那些附带有压缩文件的邮件。使用高级的电子邮件过滤解决方案可以帮助识别和隔离可疑邮件。
360聚能过去20年实战经验及能力推出360安全云,目前,360安全云已实现对此类威胁的全面检出,全力守护千行百业数字安全。
360高级威胁研究院