社区编辑申请
注册/登录
美指控朝鲜APT利用新型恶意软件攻击记者
安全
APT37又名Ricochet Chollima,据信是由朝鲜政府支持,它将新闻报道视为一种敌对行动,试图利用这次攻击获取机密信息,并查明记者的消息来源。

当地时间4月25日,美国新闻网站NK News称,其发现朝鲜支持的APT37正利用一种新型恶意软件样本攻击在朝记者。

APT37又名Ricochet Chollima,据信是由朝鲜政府支持,它将新闻报道视为一种敌对行动,试图利用这次攻击获取机密信息,并查明记者的消息来源。

NK News是一家美国新闻网站,致力于利用朝鲜国内的情报体系,报道朝鲜新闻并提供有关朝鲜的研究和分析。在发现攻击后,NK News联系恶意软件专家Stairwell进行技术分析。

Stairwell发现了一个名为 "Goldbackdoor "的新恶意软件样本,该样本通过网络钓鱼攻击传播,被评估为 "Bluelight "的继任者。

值得注意的是,这并不是APT37第一次针对记者展开恶意软件攻击。距今最近的一次是2021年11月,其采用高度定制的 "Chinotto "后门攻击记者。

攻击部署复杂而多样

这些钓鱼邮件来自韩国国家情报局(NIS)前局长的账户,APT37之前已经入侵了该账户。

在这次目标高度明确的行动中,攻击者的部署更多样,采用了两阶段感染过程,使分析人员难以对有效载荷进行采样。

两阶段感染过程

发给记者的电子邮件包含ZIP附件下载链接,文档名称为“姜敏哲(音译)编辑”(姜敏哲为朝鲜矿业部长),其中有含有LNK文件(快捷方式文件)。

LNK文件伪装成一个文档图标,并使用填充物将其扩容到282.7MB,轻松绕过杀毒软件Virus Total和其他在线检测工具。

在执行时,PowerShell脚本启动并打开一个诱饵文档(doc)以分散注意力,同时在后台解码第二个脚本。

攻击中使用的第一个PowerShell脚本

该诱饵文档包含一个托管在Heroku平台上的嵌入式外部图像,一旦该文档被打开,攻击者会收到警报。

文档中的嵌入式跟踪器链接

第二个脚本下载并执行储存在微软OneDrive上的shellcode有效载荷,由于OneDrive的服务合法性,它不太可能触发防病毒警报。

这一有效载荷被称为 "幻想",Stairwell表示,它是Goldbackdoor两种部署机制中的第一种,依赖于隐蔽的进程注入。

恶意软件Goldbackdoor

Goldbackdoor以PE文件(可执行文件)的形式执行,可以远程接受基本命令并窃取数据。

它配备了一套API密钥,用于验证Azure和检索执行的命令。这些命令与键盘记录、文件操作、基本RCE和卸载本身的能力有关。

该恶意软件利用合法的云服务来窃取文件,Stairwell注意到Google Drive和微软OneDrive被滥用。

Goldbackdoor的目标文件主要是文件和流媒体,如PDF、DOCX、MP3、TXT、M4A、JPC、XLS、PPT、BIN、3GP和MSG。

虽然这是一次针对性很强的活动,但Stairwell技术报告中提到的发现、曝光以及由此产生的检测规则和文件哈希值,对信息安全界来说仍然意义重大。

参考链接:https://www.bleepingcomputer.com/news/security/north-korean-hackers-targeting-journalists-with-novel-malware/

责任编辑:赵宁宁 来源: FreeBuf.COM
相关推荐

2022-03-31 09:35:36

透明部落恶意软件网络攻击

2022-05-05 09:04:33

恶意软件黑客

2020-12-04 12:52:53

APT网络安全恶意软件

2022-06-08 10:02:04

恶意软件Linux 的系统

2022-03-17 11:49:55

恶意软件安全工具钓鱼攻击

2022-02-15 14:01:01

2021-03-08 17:07:29

黑客网络攻击网络安全

2022-02-11 10:33:13

2022-03-21 11:58:51

DDoS攻击钓鱼攻击钓鱼网站

2022-02-09 10:24:22

2020-12-31 17:37:39

APT攻击恶意软件网络攻击

2021-07-04 10:29:12

2021-10-25 06:01:36

2021-05-12 09:54:34

APT攻击KarkadannDomestic Ki

2020-11-19 10:41:59

APT攻击网络攻击网络安全

2020-09-16 10:25:36

恶意软件Linux网络攻击

2021-10-29 16:28:48

2021-06-21 14:41:15

2019-07-21 07:37:20

2021-11-22 10:27:16

同话题下的热门内容

Github突遭大规模恶意攻击,大量加密密钥可能泄露!什么是UPnP?它有何危险?怎样提高网络数据安全性知名半导体制造商Semikron遭勒索软件攻击经销商技术部-防SQL注入实践正确的 WAF 配置对网络安全是如此重要火了十几年的零信任,为啥还不能落地一起看看21个网络安全优秀实践

编辑推荐

付费成人网站OnlyFans数百名创作者内容泄露,可能有你关注的YouTube博主2019年最近发现的网络安全事件权威解读 | 网络安全等级保护2.0标准体系以及主要标准2019年网络安全事件回顾(国际篇)2019年网络安全事件回顾(国内篇)
我收藏的内容
点赞
收藏

51CTO技术栈公众号