威胁情报信息分享|朝鲜黑客利用研究诱饵传播RokRAT后门

2023年12月，一场新的攻击活动出现，其目标是媒体机构和朝鲜事务的高知名度专家，这一行动是由一个被称为ScarCruft的APT组织策划的。

“ScarCruft一直在尝试新的感染链路，包括使用技术威胁研究报告作为诱饵，可能针对的是威胁情报的消费者，如网络安全专业人士，”SentinelOne的研究员Aleksandar Milenkoski和Tom Hegel在一份与黑客新闻网站共享的报告中表示。

与朝鲜有关的黑客团队，也被称为APT37、InkySquid、RedEyes、Ricochet Chollima和Ruby Sleet，被认为是国家安全部（MSS）的一部分，与Lazarus Group和Kimsuky不同，这两者是侦察总局（RGB）的团队。

该组织以针对政府和叛逃者为目标而闻名，利用网络钓鱼诱饵传播RokRAT和其他后门，最终目的是秘密情报搜集，以追求朝鲜的战略利益。

2023年8月，ScarCruft与Lazarus Group一起被指与对俄罗斯导弹工程公司NPO Mashinostroyeniya的攻击有关，这被认为是一个“非常令人向往的战略间谍任务”，旨在惠及其有争议的导弹计划。

本周早些时候，朝鲜国家媒体报道称，该国为应对美国、韩国和日本的演习，进行了“水下核武器系统”的测试，称这些演习是对其国家安全的威胁。

SentinelOne观察到的最新攻击链针对的是一位朝鲜事务专家，攻击者伪装成朝鲜研究所的成员，敦促收件人打开一个包含演示材料的ZIP档案文件。

虽然档案中的九个文件中有七个是良性的，但其中两个是恶意的Windows快捷方式（LNK）文件，这反映了Check Point在2023年5月公开的一个多阶段感染序列，用于传播RokRAT后门。

有证据表明，一些在2023年12月13日左右被攻击的个体，也曾在一个月前的2023年11月16日被单独攻击。

SentinelOne表示，其调查还发现了恶意软件 - 两个LNK文件（“inteligence.lnk”和“news.lnk”）以及传播RokRAT的Shellcode变体 - 这被认为是威胁行为体的规划和测试过程的一部分。

虽然前者的快捷方式文件只是打开合法的记事本应用程序，但通过news.lnk执行的Shellcode为部署RokRAT铺平了道路，尽管这种感染程序尚未在野外观察到，这表明它可能用于未来的活动。

两个LNK文件都被观察到部署了同一个诱饵文档，这是一份关于Kimsuky威胁组的合法威胁情报报告，由韩国网络安全公司Genians在2023年10月底发布，这种举动意味着试图扩大其目标列表。

这增加了对手可能寻求收集信息的可能性，这些信息可以帮助它改进其操作手册，并且还可能针对或模仿网络安全专业人士，通过品牌模仿技术渗透特定目标。

这一发展是一个迹象，表明该国家支持的黑客团伙正在积极调整其作案方式，以回应其战术和技术的公开披露，以规避检测。

“ScarCruft仍致力于获取战略情报，可能打算深入了解非公开的网络威胁情报和防御策略，”研究人员表示。

“这使对手能够更好地了解国际社会如何看待朝鲜的发展，从而有助于朝鲜的决策过程。”

原文始发于微信公众号（XDsecurity）：威胁情报信息分享|朝鲜黑客利用研究诱饵传播RokRAT后门