|
朝鲜APT37使用RokRAT木马瞄准韩国时间:2021-01-08 来自Malwarebytes的安全研究人员发现,国家资助的朝鲜威胁演员组织APT37正在针对韩国政府的新一波网络运营中使用RokRAT Trojan。APT37(也称为ScarCruft,Reaper和Group123)自2012年以来一直活跃。 “在2020年12月7日,我们发现了一个上载到Virus Total的恶意文件,该文件据称是一个可能以韩国政府为目标的会议要求。该文件中提到的会议日期是2020年1月23日,与2020年1月27日的文件编制时间一致,这表明这种攻击已发生在大约一年前。” Malwarebytes说。 RokRAT木马据研究人员称,恶意文档(会议邀请)包含一个嵌入式宏,该宏使用VBA自解码过程在Microsoft Office的存储空间内对其自身进行解码,然后将RokRat的变体嵌入记事本中。早先,APT37利用韩文办公室文档(hwp文件)将目标对准韩国的受害者,因为它是韩国使用最多的软件。但是,这次,攻击者使用了另一种方法,即通过自解码VBA Office文件来分发恶意软件。 “我们可以将此技术视为拆包存根,该存根在打开文档时执行。此解压程序存根对恶意宏进行解压,然后将其写入Microsoft Office的内存中,而无需写入磁盘。这可以轻松绕过几种安全机制。默认情况下,Microsoft禁用宏的动态执行,如果攻击者需要动态执行该宏(在这种情况下),则威胁参与者需要通过修改其注册表值来绕过VB对象模型(VBOM),” Malwarebytes补充说。 RokRAT的主要特征
成功注入后,RokRAT木马会从受害者的计算机中收集敏感数据,并通过Pcloud,Dropbox,Box和Yandex等云服务将其发送给威胁参与者。 |