APT37针对韩国外交部下发RokRAT的窃密活动分析

      APT37组织又名Group123、InkySquid、Operation Daybreak、Operation Erebus、Reaper Group、Red Eyes、ScarCruft、Venus 121。该组织至少从2012年开始活跃，主要针对韩国的公共和私营部门。2017年，APT37将其目标扩展到朝鲜半岛之外，包括日本、越南和中东，并扩展到更广泛的垂直行业，包括化学、电子、制造、航空航天、汽车和医疗保健实体。2023年，APT37组织开始针对国内用户进行网络钓鱼，涉及Windows和Android平台。

      近日，安恒信息猎影实验室在日常威胁狩猎中发现，APT37组织使用ISO文件针对韩国外交部门进行窃密。其初始攻击负载包含两个有大量无效数据填充的LNK文件，运行后在本机释放HWP诱饵文件及BAT文件，执行Powershell指令下载后续负载，最终解密RokRAT，与合法云服务pCloud通信，下发恶意指令执行。

      此次捕获样本信息如下：

      原始样本为ISO文件，该文件包含两个有大量无效数据填充的LNK文件，不同名的LNK文件运行后释放不同的诱饵文件，其静默执行的指令几乎一致。

      安恒云沙箱检测到LNK文件包含指令如下，运行后将释放HWP诱饵文件及BAT文件到%temp%目录

      HWP诱饵文件主题如下：

      BAT文件运行后将加载Powershell指令

      安恒云沙箱检出到相关指令运行

      被加载的Powershell指令将从OneDrive加载下一阶段负载，在内存中异或解密后执行

      Payload在内存中再次解密PE执行

      安恒云沙箱将该文件检出为APT37组织所用的远控木马RokRAT

      RokRAT远控木马最早活跃于2017年，最初版本的RokRAT通过利用合法平台Twitter、Yandex、Mediafire进行通信。2019年开始使用Box、Dropbox、pCloud等合法平台API进行通信。主要功能包括获取文件/进程列表、下载后续负载执行、Windows指令执行、云服务令牌信息更新等。

      RokRAT部分功能如下：

      此次捕获的RokRAT默认从合法云服务器pCloud获取后续执行指令，执行指令及指令含义如下：

      该RAT硬编码的云服务（Dropbox、pCloud、Yandex）URL如下：

      截至分析时间，攻击者已更换pCloud账户token，因此无法获取后续。

      此次捕获的APT37样本在第二阶段执行的Powershell指令，与Stairwell此前报告中的Powershell脚本高度相似。

      与之不同的是，此前样本的初始阶段采用ZIP格式文件，包含的LNK文件运行后直接执行本文中第一阶段BAT文件中的内容。

      由此可见，该组织在2023年对其感染链进行了进一步扩充，在原有的执行流程前加密了恶意指令，加大了静态检测的难度。

      此次捕获样本在最后阶段将释放APT37组织常用的RokRAT。该RAT具有多种远控功能，且善用合法云服务规避流量检测。

      由于该RAT功能完善，几乎不需要再新增远控功能，但其在代码规避方面仍然有所改进，例如对硬编码指令进行加密等。

      安恒猎影实验室提醒广大用户朋友，不运行未知来源的邮件附件。猎影实验室将对全球APT组织进行持续跟踪，专注发现并披露各类威胁事件。