曹县APT组织Group 123 持续针对 Windows 系统发起攻击

Group123 是一个曹县背景的APT组织，其别名还包括 APT37、Reaper 和 ScarCruft，该组织持续针对多个地区的 Windows 系统发起攻击。

该组织至少自 2012 年开始活跃，历史上一直专注于韩国，但自 2017 年以来已将业务范围扩大到日本、越南、中东及其他地区，目标是国防、航空航天、核技术和工程等关键领域。

该组织的主要动机仍然是信息盗窃和间谍活动，通常与曹县战略利益相一致。

他们最近的活动展现了技术实力和适应性的精妙结合，利用了大量定制和商品恶意软件，包括 ROKRAT、Konni 和 Oceansalt，以及针对 CVE-2018-4878 和 CVE-2022-41128 等漏洞的利用。

Group123 采用多阶段攻击生命周期，严重依赖鱼叉式网络钓鱼作为初始访问媒介。

这些高度针对性的电子邮件通常包含利用目标地区流行软件的恶意附件，例如韩文文字处理器 (HWP) 和 Microsoft Office 套件。

除了网络钓鱼之外，该组织还利用面向公众的应用程序漏洞（包括 Log4j 缺陷），并通过水坑攻击进行战略性网络攻击以提供恶意内容。

它们的执行阶段经常涉及自定义有效载荷，如 PoohMilk 和 Freenki Loader，搭配脚本和 Windows API 调用，确保通过后门和注册表修改保持持久性。

权限提升通常源于操作系统漏洞或绕过用户帐户控制 (UAC)，而防御规避策略包括通过 HTTPS 进行加密的 C2 通信、多阶段有效载荷和 DLL 侧加载以逃避检测。

Group123 运营中的一个显著变化是整合勒索软件（如 Maui）来资助其间谍活动，模糊了国家支持的攻击和网络犯罪之间的界限。

他们的C2基础设施展现了独创性，历史上利用 X 和 Mediafire 等平台，最近又利用 Google Drive 等云服务进行秘密通信。

通过从浏览器和 Windows 凭据管理器收集凭据访问，结合内部网络侦察，可以实现横向移动和数据泄露，通常在提取之前暂存敏感信息。

根据 Cyfirma报告，在某些情况下，会部署破坏性的恶意软件和磁盘擦除器以最大限度地发挥影响。

技术报告：

https://www.cyfirma.com/research/apt-group123/

新闻链接：

https://gbhackers.com/apt-group-123-targets-windows-systems/