简介
APT37,也被称为死神或Group123,是一个先进的持续威胁组织,主要在东亚,特别是韩国活动。外界普遍认为,该组织是由国家支持的,据称与朝鲜政府有联系。APT37至少从2012年就开始活跃,攻击范围广泛,包括政府、国防、金融、科技和媒体。
恶意行为分析
用户基础行为获取:
基础的anti,时钟检查和IsDebugger API调用:
拍取快照保存在临时文件夹,后续发送C2:
多个云服务器作为C2,本地IP是测试使用:
一些关键信息也是硬编码在文件里:
它可以使用ShellExecute()
API执行代码。从C2发送命令,然后RokRAT在ShellExecute()
的帮助下使用“cmd.exe”执行命令:
搜索磁盘信息和一些特定文件发到C2:
ATTCK
战术名 | id |
命令和脚本解释器 | T1059 |
混淆文件或信息 | T1027 |
沙箱规避 | T1497 |
远程系统发现 | T1018 |
截屏 | T1113 |
应用层协议 | T1071 |
加密通道 | T1573 |
IOC
SHA-256 HASH aa76b4db29cf929b4b22457ccb8cd77308191f091cde2f69e578ade9708d7949 SHA-256 HASH bcfb79ae18a05f190bb0805dd39502f227aa23aed698f3bba7216a564980e537
YARA
rule RokRAT_New
{
meta:
date = "2023-05-22"
hash = "aa76b4db29cf929b4b22457ccb8cd77308191f091cde2f69e578ade9708d7949"
strings:
str1= ”https://api.pcloud.com/uploadfile?path=%s&filename=%s&nopartial=1”
str2= ”dir /A /S %s >> "%%temp%%/%c_.TMP”
str3= ”cmd.exe”
condition:
all of ($str*)
}
情报参考自 https://github.com/ThreatMon
原文始发于微信公众号(TIPFactory情报工厂):RokRAT - APT37 近期活动分析
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论