首页 >> 网络安全 >>极客新闻 >> 朝鲜APT37使用RokRAT木马瞄准韩国
详细内容

朝鲜APT37使用RokRAT木马瞄准韩国

时间:2021-01-08     【转载】   阅读

来自Malwarebytes的安全研究人员发现,国家资助的朝鲜威胁演员组织APT37正在针对韩国政府的新一波网络运营中使用RokRAT TrojanAPT37(也称为ScarCruft,Reaper和Group123)自2012年以来一直活跃。

“在2020年12月7日,我们发现了一个上载到Virus Total的恶意文件,该文件据称是一个可能以韩国政府为目标的会议要求。该文件中提到的会议日期是2020年1月23日,与2020年1月27日的文件编制时间一致,这表明这种攻击已发生在大约一年前。” Malwarebytes

RokRAT木马

据研究人员称,恶意文档(会议邀请)包含一个嵌入式宏,该宏使用VBA自解码过程在Microsoft Office的存储空间内对其自身进行解码,然后将RokRat的变体嵌入记事本中。早先,APT37利用韩文办公室文档(hwp文件)将目标对准韩国的受害者,因为它是韩国使用最多的软件。但是,这次,攻击者使用了另一种方法,即通过自解码VBA Office文件来分发恶意软件。

“我们可以将此技术视为拆包存根,该存根在打开文档时执行。此解压程序存根对恶意宏进行解压,然后将其写入Microsoft Office的内存中,而无需写入磁盘。这可以轻松绕过几种安全机制。默认情况下,Microsoft禁用宏的动态执行,如果攻击者需要动态执行该宏(在这种情况下),则威胁参与者需要通过修改其注册表值来绕过VB对象模型(VBOM),” Malwarebytes补充说。

RokRAT的主要特征

  • 捕获截图

  • 收集系统信息(用户名,计算机名,BIOS)

  • 数据泄露到云服务

  • 窃取凭证

  • 文件和目录管理

成功注入后,RokRAT木马会从受害者的计算机中收集敏感数据,并通过Pcloud,Dropbox,Box和Yandex等云服务将其发送给威胁参与者。

.
更多

1589982338979126.png


ots网络社区

www.ots-sec.cn

联系方式
更多

投稿邮箱:1481840992@qq.com

交流群2群:622534175

ots网络社区3群:1078548359

关注我们
更多
技术支持: 建站ABC | 管理登录