来自Malwarebytes的安全研究人员发现，国家资助的朝鲜威胁演员组织APT37正在针对韩国政府的新一波网络运营中使用RokRAT Trojan。APT37（也称为ScarCruft，Reaper和Group123）自2012年以来一直活跃。

“在2020年12月7日，我们发现了一个上载到Virus Total的恶意文件，该文件据称是一个可能以韩国政府为目标的会议要求。该文件中提到的会议日期是2020年1月23日，与2020年1月27日的文件编制时间一致，这表明这种攻击已发生在大约一年前。” Malwarebytes说。

RokRAT木马

据研究人员称，恶意文档（会议邀请）包含一个嵌入式宏，该宏使用VBA自解码过程在Microsoft Office的存储空间内对其自身进行解码，然后将RokRat的变体嵌入记事本中。早先，APT37利用韩文办公室文档（hwp文件）将目标对准韩国的受害者，因为它是韩国使用最多的软件。但是，这次，攻击者使用了另一种方法，即通过自解码VBA Office文件来分发恶意软件。

“我们可以将此技术视为拆包存根，该存根在打开文档时执行。此解压程序存根对恶意宏进行解压，然后将其写入Microsoft Office的内存中，而无需写入磁盘。这可以轻松绕过几种安全机制。默认情况下，Microsoft禁用宏的动态执行，如果攻击者需要动态执行该宏（在这种情况下），则威胁参与者需要通过修改其注册表值来绕过VB对象模型（VBOM），” Malwarebytes补充说。

RokRAT的主要特征

• 捕获截图

• 收集系统信息（用户名，计算机名，BIOS）

• 数据泄露到云服务

• 窃取凭证

• 文件和目录管理

成功注入后，RokRAT木马会从受害者的计算机中收集敏感数据，并通过Pcloud，Dropbox，Box和Yandex等云服务将其发送给威胁参与者。