揭秘APT37:朝鲜黑客组织的攻击手法及工具
Contents
一、前言
APT又名(Advanced Persistent Threat)高级持续性威胁,我们通常叫的话直接称呼APT,或者带个编号什么的,这种是高持续攻击逐渐成为网络安全领域中最为复杂且具有破坏力的攻击类型之一。近期在X上关于APT37的话题越来越多,活跃度比其它组织还要频繁,不断研究和利用一些新颖的技术作为一个攻击突破,而且这个组织还擅长使用社会工程技术,在长期在全球范围内发动复杂的攻击。根据这些攻击技巧、持久性和隐秘性在一些威胁分析实验室领域引起了广泛的关注,样本几乎是几天或者隔一周就会出新鲜的玩法。
根据多个实验室的分析APT37不是一组单纯的攻击者,它背后可能有国家级的支持,他们的目标涵盖了政府机构、军事设施、金融机构、食品、能源等多个领域。本文将深入探讨APT37的历史背景、攻击手段、工具、战术以及防御应对策略,帮助读者更好地了解这一复杂的网络威胁组织。
二、APT37的历史与起源
APT37的活动最早可以追溯到2012年左右,但它的存在直到2017年才被公开确认。最初,它以“Reaper”这一代号出现在大家的面前,后来被证实是APT37的一部分。这个代号在很多实验室当中都有些差别,通过搜索这些代号依然可以搜索到是与朝鲜有关的组织:
- Reaper (FireEye)
- TEMP.Reaper (FireEye)
- APT 37 (Mandiant)
- Ricochet Chollima (CrowdStrike)
- ScarCruft (卡巴斯基)
- Cerium (微软)
- Group 123 (Talos)
- Red Eyes (AhnLab)
- Geumseong121 (ESRC)
- Venus 121 (ESRC)
- Hermit (腾讯)
- InkySquid (Volexity)
- ATK 4 (Thales)
- ITG10 (IBM)
- Ruby Sleet (微软)
- Crooked Pisces (Palo Alto)
- Moldy Pisces (Palo Alto)
- Osmium (微软)
- Opal Sleet (微软)
- TA-RedAnt (AhnLab)
与许多APT组织不同,APT37组织的攻击并没有固定的攻击时间表或明确的规律,往往会根据目标的不同而变化,极具隐蔽性。很多实验室介绍APT37的背后是否有国家级支持仍然是一个谜。但是你要知道APT组织攻击成本是很高的,在加上攻击的行业,或许我们可以联想到一些攻击的目的。
为什么那么多人觉得它可能与朝鲜有关,尤其是考虑到它的攻击目标和战术特征。比如他们会经常针对目标量身定制的社会工程策略、有针对性的网络间谍活动典型的战略性网络攻击,并且其攻击的目标多为政治、军事和军事相关的机构。这些目标的选择,与朝鲜的战略目标相符,因此很多威胁分析实验有理由怀疑该组织可能得到朝鲜ZF的支持。
三、APT37攻击目标行业
在前言部分,我们只介绍了部分目标。然而,针对一个频繁活跃的组织来说,这些目标显然不够全面,因为不同的行业涉及的技术领域差异较大。
目标国家:主要针对韩国,近期的攻击活动几乎都集中在该国,原因可能与当前紧张的地缘政治局势相关。除此之外,APT37还攻击了包括柬埔寨、我国、捷克、印度、日本、科威特、老挝、尼泊尔、波兰、罗马尼亚、俄罗斯、泰国、英国、美国和越南在内的多个国家。
目标行业:APT37的攻击目标涵盖多个行业,包括航空航天、汽车、化工、教育、金融、政府、医疗保健、高科技、制造业、媒体、技术和交通运输等。
根据APT37近几个月的攻击活动,显然我列举的目标行业仍然不够全面,因此我补充了“等”字以涵盖更多潜在的行业。值得注意的是,2024年5月24日,瑞星威胁情报平台捕获了一起疑似针对中韩食品行业的攻击样本。该样本文件名为“설비목록.doc”,即“设备清单”。
尽管文件名和内容使用中文介绍了设备信息,但其压缩包内还包含一个名为“韩语”的快捷方式,指向恶意的PowerShell代码。此PowerShell脚本不仅释放了多个文件,还放置了一个关于设备清单的诱饵文档,进一步伪装成正常的业务文件。
当然不管最后的目标是两国还是其它国家,但是还是需要提高安全防护,前段时间我国就公开了一份报告,老美那套手段,抹黑的老6。
四、APT37工具和攻击方式
在APT37的攻击活动中由始至今,工具的使用是非常多样的。根据以往的网络安全报告和分析,APT37组织使用的工具种类繁多,包括:BBLUELIGHT、CARROTBALL、CARROTBAT、Cobalt Strike、CORALDECK、DOGCALL、Dolphin、Erebus、Final1stSpy、Freenki Loader、GELCAPSULE、GOLDBACKDOOR、GreezeBackdoor、HAPPYWORK、KARAE、KevDroid、Konni、MILKDROP、N1stAgent、NavRAT、Nokki、Oceansalt、PoohMilk Loader、POORAIM、RokRAT、RICECURRY、RUHAPPY、ScarCruft、SHUTTERSPEED、SLOWDRIFT、SOUNDWAVE、Syscon、VeilShell、WINERACK、ZUMKONG等一系列工具以及多个 0-day 比如Adobe Flash零日漏洞( CVE-2018-4878) 、 MS Office 漏洞、 Internet Explorer 漏洞。
这些工具的成功应用依赖于许多繁琐且巧妙的攻击步骤。例如,攻击者可能首先通过钓鱼邮件或漏洞利用手段入侵目标网络,之后利用像Cobalt Strike这样的渗透测试工具,进行后续的攻击和横向渗透。工具的使用往往不局限于一次性攻击,而是通过多个阶段的迭代、更新和伪装,以维持对目标系统的控制,并且防止被检测到或清除。
【一、通过工具名称+Apt37可查找到相关文章】
【二、通过工具名称+Apt37可查找到相关文章】
常见工具的特征与功能
1.后门程序和恶意软件
APT37组织在其攻击中使用了多种类型的后门程序和恶意软件,如BLUELIGHT、DOGCALL、Final1stSpy、VeilShell和GOLDBACKDOOR等。这些工具的主要特征是能够在受害系统中建立持久的后门,允许攻击者远程控制目标系统,窃取敏感数据,并能够通过多种手段保持对目标的长期访问。后门程序通常具备高度的隐蔽性和自我更新能力,使得它们在目标系统内生存较长时间,不易被传统的反病毒软件或入侵检测系统发现。
Cobalt Strike是APT攻击中常见的一个工具,它最初是作为合法的渗透测试工具开发的,但由于其强大的功能,逐渐成为黑客的工具。它不仅支持远程命令执行,还能够进行横向渗透、凭证窃取、系统信息搜集等复杂操作,成为APT攻击中不可或缺的工具之一。
2.间谍软件和信息窃取工具
APT37的攻击目标通常是政府、企业、科研机构等组织,这些工具被设计用于从目标系统中窃取机密信息。例如,GELCAPSULE和RokRAT等工具可以通过在受害计算机上运行,获取敏感文件、密码和其他重要数据。间谍软件通常能够在不被用户察觉的情况下运行,极大地提高了APT37在执行长期间谍活动时的隐蔽性。
此外,APT37也使用了包括POORAIM、N1stAgent等间谍软件工具,这些工具可以捕获键盘输入、屏幕截图、浏览器历史记录等信息,进一步加深了对目标系统的控制和对敏感信息的窃取。
3.自定义开发的工具
除了使用开源工具或商业软件之外,APT37还开发了一些高度定制的恶意工具。这些工具通常是为了针对特定的目标或绕过特定的安全防护机制而开发的。例如,VeilShell是一种自定义的后门工具,它允许攻击者通过命令行界面执行恶意操作,控制目标系统。其他类似的工具,如CARROTBALL、CARROTBAT和RokRAT,也都是为了提高攻击的成功率和持久性而特别定制的恶意工具。
这些自定义开发的工具通常会避开常规的反病毒软件和检测机制,它们在设计上往往具备很高的隐蔽性,并能够根据不同的攻击需求进行动态调整。这种灵活性使得APT37能够根据具体的攻击目标和防护措施,不断调整攻击手段,保持持续性的控制。
4.开源工具的利用
除了定制开发的恶意工具,APT37也善于利用一些开源或公开可用的工具。Cobalt Strike就是一个典型的例子,它原本是一个合法的渗透测试工具,但由于其功能强大,它被攻击者广泛滥用。其他类似的开源工具,如Mimikatz、Empire、Metasploit等,也都被APT37等攻击团体用于漏洞利用、信息窃取和远程控制等攻击行为。
5.0-day漏洞的利用
APT37还特别擅长利用0-day漏洞,尤其是针对Adobe Flash零日漏洞( CVE-2018-4878)、MS Office漏洞、Internet Explorer漏洞等常见的应用程序,特别是8月份的WPS Office漏洞(CVE-2024-7262),根据当时的一些情报Apt37也已经用上这个漏洞进行攻击。
五、APT37的攻击技术
比如:VeilShell一种自定义开发的恶意工具,广泛用于高级持续性威胁(APT)攻击中,如果你去搜索这个工具,差不多全都是关于Apt37的。
它的主要功能是为攻击者提供持久化访问和远程控制权限,并能够执行各种恶意操作,如窃取敏感数据、安装其他恶意软件等。
还有其它特点就是VeilShell 特别擅长绕过传统安全防御,具有多个关键特征,使其成为APT团体首选的工具。并且采用多种隐蔽技术来避免被防病毒软件和安全检测工具发现。它通常通过利用“Shell”环境来逃避行为检测,且其代码设计上具备动态加载和加密特性,来增加被分析和追踪的难度,该工具被APT37(朝鲜其它攻击组织),这里我看很多分析报告和文章,攻击手段都非常的相似,好了,回到正文,初始访问搭配远程访问木马 (RAT) 、LNK 文件、进程注入和 Living-off-the-Land 技术、无文件技术和仅内存持久性、利用旧版 Internet Explorer 组件、供应链和基于广告的初始访问、隐身和持久性机制。
1.初始访问的零日攻击利用
对于初始访问,APT37 最近利用了零日漏洞(例如Internet Explorer 中的CVE-2024-38178)来传播 VeilShell。通过利用这些以前未知的漏洞,APT37 可以绕过标准防御并在无需用户交互的情况下部署 VeilShell。这些漏洞通常通过受感染的广告平台或恶意网络链接传播,为 VeilShell 提供隐秘的入口点并减少网络钓鱼的需求
安全事务。
参考:North Korea-linked APT37 exploited IE zero-day in a recent attack
North Korea-linked APT37 exploited IE zero-day in a recent attack
2.无文件和内存执行 + 持久性
APT37的首选VeilShell 后门,具有内置持久性功能,VeilShell后门是一种轻量级且隐秘的后门,专注于逃避和持久性。VeilShell 在 APT37 的活动中发挥着关键作用,充当其他恶意软件的传递机制并实现命令和控制 (C2) 通信,VeilShell特点:
1.通过内存注入实现无文件执行
- VeilShell 专为无文件操作而设计。它通常以有效载荷的形式传递,使用 Windows 实用程序(如 PowerShell)或通过进程注入技术将其自身直接注入内存。通过将 VeilShell 直接加载到受信任进程(如
explorer.exe
或 )的内存中svchost.exe
,APT37 可以以绕过基于磁盘的检测的方式运行它。 - 进程注入技术:VeilShell 使用进程挖空或DLL 注入等方法在合法系统进程中运行恶意代码。例如,在进程挖空中,VeilShell 可能会用恶意代码替换良性进程的内存空间,使其以受信任的 Windows 进程的名义运行。此策略记录在MITRE ATT&CK T1055(进程注入)中,APT 组织经常使用此策略在合法操作中伪装恶意活动。
2.通过自动启动机制实现持久性
- 与 APT37 的 LotL 策略类似,VeilShell 可以通过创建注册表运行项或计划任务配置为在系统重启时自动启动。这确保即使系统重新启动,VeilShell 仍处于活动状态,从而允许 APT37 持续访问受感染的环境。
- 使用加密有效负载自动启动:VeilShell 通常会在初始阶段加载额外的加密有效负载,这些有效负载在执行时会在内存中解密。这种方法不仅增强了隐蔽性,而且还使取证分析师更难捕获和分析有效负载。
3.指挥与控制(C2)通信
- …
APT又名(Advanced Persistent Threat)高级持续性威胁,我们通常叫的话直接称呼APT,或者带个编号什么的,这种是高持续攻击逐渐成为网络安全领域中最为复杂且具有破坏力的攻击类型之一。近期在X上关于APT37的话题越来越多,活跃度比其它组织还要频繁,不断研究和利用一些新颖的技术作为一个攻击突破,而且这个组织还擅长使用社会工程技术,在长期在全球范围内发动复杂的攻击。根据这些攻击技巧、持久性和隐秘性在一些威胁分析实验室领域引起了广泛的关注,样本几乎是几天或者隔一周就会出新鲜的玩法。
根据多个实验室的分析APT37不是一组单纯的攻击者,它背后可能有国家级的支持,他们的目标涵盖了政府机构、军事设施、金融机构、食品、能源等多个领域。本文将深入探讨APT37的历史背景、攻击手段、工具、战术以及防御应对策略,帮助读者更好地了解这一复杂的网络威胁组织。
二、APT37的历史与起源
APT37的活动最早可以追溯到2012年左右,但它的存在直到2017年才被公开确认。最初,它以“Reaper”这一代号出现在大家的面前,后来被证实是APT37的一部分。这个代号在很多实验室当中都有些差别,通过搜索这些代号依然可以搜索到是与朝鲜有关的组织:
- Reaper (FireEye)
- TEMP.Reaper (FireEye)
- APT 37 (Mandiant)
- Ricochet Chollima (CrowdStrike)
- ScarCruft (卡巴斯基)
- Cerium (微软)
- Group 123 (Talos)
- Red Eyes (AhnLab)
- Geumseong121 (ESRC)
- Venus 121 (ESRC)
- Hermit (腾讯)
- InkySquid (Volexity)
- ATK 4 (Thales)
- ITG10 (IBM)
- Ruby Sleet (微软)
- Crooked Pisces (Palo Alto)
- Moldy Pisces (Palo Alto)
- Osmium (微软)
- Opal Sleet (微软)
- TA-RedAnt (AhnLab)
与许多APT组织不同,APT37组织的攻击并没有固定的攻击时间表或明确的规律,往往会根据目标的不同而变化,极具隐蔽性。很多实验室介绍APT37的背后是否有国家级支持仍然是一个谜。但是你要知道APT组织攻击成本是很高的,在加上攻击的行业,或许我们可以联想到一些攻击的目的。
为什么那么多人觉得它可能与朝鲜有关,尤其是考虑到它的攻击目标和战术特征。比如他们会经常针对目标量身定制的社会工程策略、有针对性的网络间谍活动典型的战略性网络攻击,并且其攻击的目标多为政治、军事和军事相关的机构。这些目标的选择,与朝鲜的战略目标相符,因此很多威胁分析实验有理由怀疑该组织可能得到朝鲜ZF的支持。
三、APT37攻击目标行业
在前言部分,我们只介绍了部分目标。然而,针对一个频繁活跃的组织来说,这些目标显然不够全面,因为不同的行业涉及的技术领域差异较大。
目标国家:主要针对韩国,近期的攻击活动几乎都集中在该国,原因可能与当前紧张的地缘政治局势相关。除此之外,APT37还攻击了包括柬埔寨、我国、捷克、印度、日本、科威特、老挝、尼泊尔、波兰、罗马尼亚、俄罗斯、泰国、英国、美国和越南在内的多个国家。
目标行业:APT37的攻击目标涵盖多个行业,包括航空航天、汽车、化工、教育、金融、政府、医疗保健、高科技、制造业、媒体、技术和交通运输等。
根据APT37近几个月的攻击活动,显然我列举的目标行业仍然不够全面,因此我补充了“等”字以涵盖更多潜在的行业。值得注意的是,2024年5月24日,瑞星威胁情报平台捕获了一起疑似针对中韩食品行业的攻击样本。该样本文件名为“설비목록.doc”,即“设备清单”。
尽管文件名和内容使用中文介绍了设备信息,但其压缩包内还包含一个名为“韩语”的快捷方式,指向恶意的PowerShell代码。此PowerShell脚本不仅释放了多个文件,还放置了一个关于设备清单的诱饵文档,进一步伪装成正常的业务文件。
当然不管最后的目标是两国还是其它国家,但是还是需要提高安全防护,前段时间我国就公开了一份报告,老美那套手段,抹黑的老6。
四、APT37工具和攻击方式
在APT37的攻击活动中由始至今,工具的使用是非常多样的。根据以往的网络安全报告和分析,APT37组织使用的工具种类繁多,包括:BBLUELIGHT、CARROTBALL、CARROTBAT、Cobalt Strike、CORALDECK、DOGCALL、Dolphin、Erebus、Final1stSpy、Freenki Loader、GELCAPSULE、GOLDBACKDOOR、GreezeBackdoor、HAPPYWORK、KARAE、KevDroid、Konni、MILKDROP、N1stAgent、NavRAT、Nokki、Oceansalt、PoohMilk Loader、POORAIM、RokRAT、RICECURRY、RUHAPPY、ScarCruft、SHUTTERSPEED、SLOWDRIFT、SOUNDWAVE、Syscon、VeilShell、WINERACK、ZUMKONG等一系列工具以及多个 0-day 比如Adobe Flash零日漏洞( CVE-2018-4878) 、 MS Office 漏洞、 Internet Explorer 漏洞。
这些工具的成功应用依赖于许多繁琐且巧妙的攻击步骤。例如,攻击者可能首先通过钓鱼邮件或漏洞利用手段入侵目标网络,之后利用像Cobalt Strike这样的渗透测试工具,进行后续的攻击和横向渗透。工具的使用往往不局限于一次性攻击,而是通过多个阶段的迭代、更新和伪装,以维持对目标系统的控制,并且防止被检测到或清除。
【一、通过工具名称+Apt37可查找到相关文章】
【二、通过工具名称+Apt37可查找到相关文章】
常见工具的特征与功能
1.后门程序和恶意软件
APT37组织在其攻击中使用了多种类型的后门程序和恶意软件,如BLUELIGHT、DOGCALL、Final1stSpy、VeilShell和GOLDBACKDOOR等。这些工具的主要特征是能够在受害系统中建立持久的后门,允许攻击者远程控制目标系统,窃取敏感数据,并能够通过多种手段保持对目标的长期访问。后门程序通常具备高度的隐蔽性和自我更新能力,使得它们在目标系统内生存较长时间,不易被传统的反病毒软件或入侵检测系统发现。
Cobalt Strike是APT攻击中常见的一个工具,它最初是作为合法的渗透测试工具开发的,但由于其强大的功能,逐渐成为黑客的工具。它不仅支持远程命令执行,还能够进行横向渗透、凭证窃取、系统信息搜集等复杂操作,成为APT攻击中不可或缺的工具之一。
2.间谍软件和信息窃取工具
APT37的攻击目标通常是政府、企业、科研机构等组织,这些工具被设计用于从目标系统中窃取机密信息。例如,GELCAPSULE和RokRAT等工具可以通过在受害计算机上运行,获取敏感文件、密码和其他重要数据。间谍软件通常能够在不被用户察觉的情况下运行,极大地提高了APT37在执行长期间谍活动时的隐蔽性。
此外,APT37也使用了包括POORAIM、N1stAgent等间谍软件工具,这些工具可以捕获键盘输入、屏幕截图、浏览器历史记录等信息,进一步加深了对目标系统的控制和对敏感信息的窃取。
3.自定义开发的工具
除了使用开源工具或商业软件之外,APT37还开发了一些高度定制的恶意工具。这些工具通常是为了针对特定的目标或绕过特定的安全防护机制而开发的。例如,VeilShell是一种自定义的后门工具,它允许攻击者通过命令行界面执行恶意操作,控制目标系统。其他类似的工具,如CARROTBALL、CARROTBAT和RokRAT,也都是为了提高攻击的成功率和持久性而特别定制的恶意工具。
这些自定义开发的工具通常会避开常规的反病毒软件和检测机制,它们在设计上往往具备很高的隐蔽性,并能够根据不同的攻击需求进行动态调整。这种灵活性使得APT37能够根据具体的攻击目标和防护措施,不断调整攻击手段,保持持续性的控制。
4.开源工具的利用
除了定制开发的恶意工具,APT37也善于利用一些开源或公开可用的工具。Cobalt Strike就是一个典型的例子,它原本是一个合法的渗透测试工具,但由于其功能强大,它被攻击者广泛滥用。其他类似的开源工具,如Mimikatz、Empire、Metasploit等,也都被APT37等攻击团体用于漏洞利用、信息窃取和远程控制等攻击行为。
5.0-day漏洞的利用
APT37还特别擅长利用0-day漏洞,尤其是针对Adobe Flash零日漏洞( CVE-2018-4878)、MS Office漏洞、Internet Explorer漏洞等常见的应用程序,特别是8月份的WPS Office漏洞(CVE-2024-7262),根据当时的一些情报Apt37也已经用上这个漏洞进行攻击。
五、APT37的攻击技术
比如:VeilShell一种自定义开发的恶意工具,广泛用于高级持续性威胁(APT)攻击中,如果你去搜索这个工具,差不多全都是关于Apt37的。
它的主要功能是为攻击者提供持久化访问和远程控制权限,并能够执行各种恶意操作,如窃取敏感数据、安装其他恶意软件等。
还有其它特点就是VeilShell 特别擅长绕过传统安全防御,具有多个关键特征,使其成为APT团体首选的工具。并且采用多种隐蔽技术来避免被防病毒软件和安全检测工具发现。它通常通过利用“Shell”环境来逃避行为检测,且其代码设计上具备动态加载和加密特性,来增加被分析和追踪的难度,该工具被APT37(朝鲜其它攻击组织),这里我看很多分析报告和文章,攻击手段都非常的相似,好了,回到正文,初始访问搭配远程访问木马 (RAT) 、LNK 文件、进程注入和 Living-off-the-Land 技术、无文件技术和仅内存持久性、利用旧版 Internet Explorer 组件、供应链和基于广告的初始访问、隐身和持久性机制。
1.初始访问的零日攻击利用
对于初始访问,APT37 最近利用了零日漏洞(例如Internet Explorer 中的CVE-2024-38178)来传播 VeilShell。通过利用这些以前未知的漏洞,APT37 可以绕过标准防御并在无需用户交互的情况下部署 VeilShell。这些漏洞通常通过受感染的广告平台或恶意网络链接传播,为 VeilShell 提供隐秘的入口点并减少网络钓鱼的需求
安全事务。
参考:North Korea-linked APT37 exploited IE zero-day in a recent attack
North Korea-linked APT37 exploited IE zero-day in a recent attack
2.无文件和内存执行 + 持久性
APT37的首选VeilShell 后门,具有内置持久性功能,VeilShell后门是一种轻量级且隐秘的后门,专注于逃避和持久性。VeilShell 在 APT37 的活动中发挥着关键作用,充当其他恶意软件的传递机制并实现命令和控制 (C2) 通信,VeilShell特点:
1.通过内存注入实现无文件执行
- VeilShell 专为无文件操作而设计。它通常以有效载荷的形式传递,使用 Windows 实用程序(如 PowerShell)或通过进程注入技术将其自身直接注入内存。通过将 VeilShell 直接加载到受信任进程(如
explorer.exe
或 )的内存中svchost.exe
,APT37 可以以绕过基于磁盘的检测的方式运行它。 - 进程注入技术:VeilShell 使用进程挖空或DLL 注入等方法在合法系统进程中运行恶意代码。例如,在进程挖空中,VeilShell 可能会用恶意代码替换良性进程的内存空间,使其以受信任的 Windows 进程的名义运行。此策略记录在MITRE ATT&CK T1055(进程注入)中,APT 组织经常使用此策略在合法操作中伪装恶意活动。
2.通过自动启动机制实现持久性
- 与 APT37 的 LotL 策略类似,VeilShell 可以通过创建注册表运行项或计划任务配置为在系统重启时自动启动。这确保即使系统重新启动,VeilShell 仍处于活动状态,从而允许 APT37 持续访问受感染的环境。
- 使用加密有效负载自动启动:VeilShell 通常会在初始阶段加载额外的加密有效负载,这些有效负载在执行时会在内存中解密。这种方法不仅增强了隐蔽性,而且还使取证分析师更难捕获和分析有效负载。
3.指挥与控制(C2)通信
- …