當(dāng)?shù)貢r(shí)間4月25日，美國(guó)新聞網(wǎng)站NK News稱，其發(fā)現(xiàn)朝鮮支持的APT37正利用一種新型惡意軟件樣本攻擊在朝記者。

APT37又名Ricochet Chollima，據(jù)信是由朝鮮政府支持，它將新聞報(bào)道視為一種敵對(duì)行動(dòng)，試圖利用這次攻擊獲取機(jī)密信息，并查明記者的消息來源。

NK News是一家美國(guó)新聞網(wǎng)站，致力于利用朝鮮國(guó)內(nèi)的情報(bào)體系，報(bào)道朝鮮新聞并提供有關(guān)朝鮮的研究和分析。在發(fā)現(xiàn)攻擊后，NK News聯(lián)系惡意軟件專家Stairwell進(jìn)行技術(shù)分析。

Stairwell發(fā)現(xiàn)了一個(gè)名為 "Goldbackdoor "的新惡意軟件樣本，該樣本通過網(wǎng)絡(luò)釣魚攻擊傳播，被評(píng)估為 "Bluelight "的繼任者。

值得注意的是，這并不是APT37第一次針對(duì)記者展開惡意軟件攻擊。距今最近的一次是2021年11月，其采用高度定制的 "Chinotto "后門攻擊記者。

攻擊部署復(fù)雜而多樣?

這些釣魚郵件來自韓國(guó)國(guó)家情報(bào)局(NIS)前局長(zhǎng)的賬戶，APT37之前已經(jīng)入侵了該賬戶。

在這次目標(biāo)高度明確的行動(dòng)中，攻擊者的部署更多樣，采用了兩階段感染過程，使分析人員難以對(duì)有效載荷進(jìn)行采樣。

兩階段感染過程

發(fā)給記者的電子郵件包含ZIP附件下載鏈接，文檔名稱為“姜敏哲(音譯)編輯”(姜敏哲為朝鮮礦業(yè)部長(zhǎng))，其中有含有LNK文件(快捷方式文件)。

LNK文件偽裝成一個(gè)文檔圖標(biāo)，并使用填充物將其擴(kuò)容到282.7MB，輕松繞過殺毒軟件Virus Total和其他在線檢測(cè)工具。

在執(zhí)行時(shí)，PowerShell腳本啟動(dòng)并打開一個(gè)誘餌文檔(doc)以分散注意力，同時(shí)在后臺(tái)解碼第二個(gè)腳本。

攻擊中使用的第一個(gè)PowerShell腳本

該誘餌文檔包含一個(gè)托管在Heroku平臺(tái)上的嵌入式外部圖像，一旦該文檔被打開，攻擊者會(huì)收到警報(bào)。

文檔中的嵌入式跟蹤器鏈接

第二個(gè)腳本下載并執(zhí)行儲(chǔ)存在微軟OneDrive上的shellcode有效載荷，由于OneDrive的服務(wù)合法性，它不太可能觸發(fā)防病毒警報(bào)。

這一有效載荷被稱為 "幻想"，Stairwell表示，它是Goldbackdoor兩種部署機(jī)制中的第一種，依賴于隱蔽的進(jìn)程注入。

惡意軟件Goldbackdoor

Goldbackdoor以PE文件(可執(zhí)行文件)的形式執(zhí)行，可以遠(yuǎn)程接受基本命令并竊取數(shù)據(jù)。

它配備了一套API密鑰，用于驗(yàn)證Azure和檢索執(zhí)行的命令。這些命令與鍵盤記錄、文件操作、基本RCE和卸載本身的能力有關(guān)。

該惡意軟件利用合法的云服務(wù)來竊取文件，Stairwell注意到Google Drive和微軟OneDrive被濫用。

Goldbackdoor的目標(biāo)文件主要是文件和流媒體，如PDF、DOCX、MP3、TXT、M4A、JPC、XLS、PPT、BIN、3GP和MSG。

雖然這是一次針對(duì)性很強(qiáng)的活動(dòng)，但Stairwell技術(shù)報(bào)告中提到的發(fā)現(xiàn)、曝光以及由此產(chǎn)生的檢測(cè)規(guī)則和文件哈希值，對(duì)信息安全界來說仍然意義重大。

參考鏈接：https://www.bleepingcomputer.com/news/security/north-korean-hackers-targeting-journalists-with-novel-malware/