RokRAT - APT37 近期活动分析

admin 2023年6月1日08:33:43评论50 views字数 898阅读2分59秒阅读模式

简介

APT37,也被称为死神或Group123,是一个先进的持续威胁组织,主要在东亚,特别是韩国活动。外界普遍认为,该组织是由国家支持的,据称与朝鲜政府有联系。APT37至少从2012年就开始活跃,攻击范围广泛,包括政府、国防、金融、科技和媒体。

恶意行为分析

用户基础行为获取:

RokRAT - APT37 近期活动分析


基础的anti,时钟检查和IsDebugger API调用:

RokRAT - APT37 近期活动分析

拍取快照保存在临时文件夹,后续发送C2:

RokRAT - APT37 近期活动分析

多个云服务器作为C2,本地IP是测试使用:

RokRAT - APT37 近期活动分析

一些关键信息也是硬编码在文件里:

RokRAT - APT37 近期活动分析

它可以使用ShellExecute() API执行代码。从C2发送命令,然后RokRAT在ShellExecute()的帮助下使用“cmd.exe”执行命令:

RokRAT - APT37 近期活动分析

搜索磁盘信息和一些特定文件发到C2:

RokRAT - APT37 近期活动分析

ATTCK

战术名 id
命令和脚本解释器 T1059
混淆文件或信息 T1027
沙箱规避 T1497
远程系统发现 T1018
截屏 T1113
应用层协议 T1071
加密通道 T1573

IOC

SHA-256 HASH aa76b4db29cf929b4b22457ccb8cd77308191f091cde2f69e578ade9708d7949 SHA-256 HASH bcfb79ae18a05f190bb0805dd39502f227aa23aed698f3bba7216a564980e537

YARA

rule RokRAT_New{    meta:        date = "2023-05-22"        hash = "aa76b4db29cf929b4b22457ccb8cd77308191f091cde2f69e578ade9708d7949"
strings:

str1= ”https://api.pcloud.com/uploadfile?path=%s&filename=%s&nopartial=1” str2= ”dir /A /S %s >> "%%temp%%/%c_.TMP” str3= ”cmd.exe”
condition:

all of ($str*)}


情报参考自 https://github.com/ThreatMon

原文始发于微信公众号(TIPFactory情报工厂):RokRAT - APT37 近期活动分析

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年6月1日08:33:43
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   RokRAT - APT37 近期活动分析http://cn-sec.com/archives/1779675.html

发表评论

匿名网友 填写信息