APT-C-28(ScarCruft)组织利用恶意LNK文件投递RokRat攻击的活动分析
Contents
APT-C-28(ScarCruft)组织,也被称为APT37(Reaper)和Group123,是一个源自东北亚地区的APT组织。该组织的相关攻击活动最早可追溯到2012年,并且一直保持到现在仍然十分活跃。APT-C-28主要聚焦于对韩国和其他亚洲国家进行网络攻击行动,其目标涵盖了化学、电子、制造、航空航天、汽车以及医疗保健等多个关键行业。该组织的主要目的在于窃取与战略军事、政治和经济相关的重要、敏感数据。
此外,RokRat是一种基于云的远程访问工具,自2016年以来就一直是APT-C-28在其众多攻击活动中频繁使用的工具。RokRat的持续使用表明该工具在帮助APT-C-28实现其复杂的情报窃取活动方面扮演了关键角色。通过这种高级的远程访问工具,APT-C-28能够有效地渗透目标网络,窃取关键信息,并对受害者进行长期的监控。
360高级威胁研究院监测到APT-C-28组织在进行一次精心策划的网络攻击。该组织利用伪装成“朝鲜人权专家辩论”的恶意LNK文件,作为向目标传递RokRat恶意软件的手段。我们在这次攻击中捕获的初始样本是一个压缩文件,里面含有伪装的恶意LNK文件。当执行这个LNK文件时,它会诱导用户下载并运行RokRat恶意软件。根据以往的公开威胁情报资料,我们推断这次攻击的初始载荷很可能是通过钓鱼邮件发送的。
1.攻击流程分析 我们最初截获的恶意载荷是一个压缩文件,其中包含了恶意的LNK文件。根据我们分析的公开威胁情报资料,这个初始样本很可能是通过恶意邮件传播的。当用户激活这个恶意LNK文件时,它会提取出一个恶意的BAT文件和PowerShell脚本。这个BAT文件随后调用PowerShell脚本,从DropBox云服务下载下一个阶段的加密载荷。接下来,通过应用XOR算法对加密载荷进行解密,从而得到shellcode。然后,这个shellcode会在一个新创建的线程中被加载,其内部解密硬编码的数据以获取RokRat恶意软件。这一系列步骤揭示了恶意软件的复杂传播和激活机制。
2.载荷投递分析
2.1.载荷投递方式
根据我们分析的公开威胁情报资料,我们推测这次网络攻击的初始载荷很可能是通过恶意邮件传播的。不过我们目前只能捕获到涉及的压缩文件和恶意LNK文件。这个恶意LNK文件包含的代码被用来下载并加载后续的攻击载荷。
2.2.恶意载荷分析
攻击者通过发送以“朝鲜人权专家辩论”相关内容为诱饵的LNK文件,诱使目标用户执行该文件。该LNK文件内嵌有恶意的 PowerShell代码,用于在特定目录下隐蔽地搜索并执行多个操作,主要功能如下:
MD5
D11D3032E7C38FA314A55AC4B5E61C5D
SHA1
47E54EE76620AA2F50DFCC120E60BB20B9CD534F
SHA256
3FD02C7057EF1324AD74714A7FC4B00AC338CFB172A788D98E5A781548B8F027
文件类型
Windows shortcut
文件名
북한인권전문가토론회.lnk
1).利用 user32.dll 动态链接库隐藏命令行窗口,以减少用户的警觉性;
2).在特定目录搜索特定大小的.lnk 文件,并对其进行一系列操作:从.lnk 文件中提取嵌入的 PDF 文件并将其保存在相同目录下,接着执行该 PDF 文件;
3).提取一个内嵌的可执行文件并以.dat格式保存在系统的Public目录;
4).提取并保存一个批处理文件(.bat),命名为 북한인권전문가토론회061223.bat,并存储在 Public 目录中,随后执行它。
5).在执行这些操作之后,脚本清理其痕迹,删除原始的.lnk 文件,并终止执行。整个过程虽然复杂,但目的在于无声无息地执行多种潜在恶意操作。
提取的dat文件包含了一段 PowerShell 脚本,它主要负责将十六进制数据转换为字符串,并以无限循环的方式执行。提取出来的脚本具体执行以下功能:
1).从指定Dropbox 链接下载数据;2).更改内存区域的保护属性,使其可执行,接着对下载的数据通过异或 (XOR) 操作进行解密;4).如果在下载或处理数据过程中出现异常,脚本会暂停(11秒),然后重试整个过程。
3.攻击组件分析 解密的shellcode从硬编码的加密数据处解密出PE文件,解密的PE文件是2023年编译的的RokRat木马。最后将RokRat加载到内存后跳转到入口点执行。
我们此次捕获的是一个编译日期为2023年12月02日的RokRat恶意软件样本。此次发现为我们提供了一个宝贵的机会,来深入分析和对比RokRat的演变路径。我们曾在2022年末披露过该恶意软件的功能特征[1],并将其与几年前的RokRat版本进行了比较。本次,我们着重分析了2023年末编译的RokRat样本,以探究其在攻击技术和策略方面的最新变化。初步分析表明,这个新样本在功能上与先前的版本相似,主要通过攻击者控制的云服务接收指令,并根据这些指令执行各种恶意活动。
MD5
4E231F708755A69AF49C8DE135A8E25E
SHA1
C280FC3538BFE163C981A89D7509823E8C9FB060
SHA256
A9CBB1927B391173265FF7A4FDEFED59AFEDDD5B245A2A58C2637B01F87F6119
文件类型
PE32 Execurable
编译时间
2023-12-02
11:02:17
接下来,让我们总结RokRat恶意软件中各种控制指令及其对应的功能。
执行删除特定文件的命令,如删除启动项、批处理文件等,然后退出。
(命令执行:
del"%appdata%\Microsoft\Windows\Start Menu\Programs\Startup\*.VBS" "%appdata%\*.CMD" "%appdata%\*.BAT"
"%appdata%\*01" "%appdata%\Microsoft\Windows\Start Menu\Programs\Startup\*.lnk" "%allusersprofile%\Microsoft\Windows\Start Menu\Programs\Startup\*.lnk" /F /Q)
执行删除特定文件的命令,随后退出。
(命令执行:
del "%appdata%\Microsoft\Windows\Start Menu\Programs\Startup\*.VBS" "%appdata%\*.CMD" "%appdata%\*.BAT" "%appdata%\*01" /F /Q)
遍历系统上的所有逻辑驱动器,获取驱动器所有文件信息并上传。在成功获取载荷的情况下,创建线程执行载荷并收集系统信息。
(命令执行:
在成功获取载荷的情况下,获取载荷解密并写入到KB400928_doc.exe文件中并执行。
tasklist>>"%temp%\r.txt" & echo == Startup ==>>"%temp%\r.txt" & dir /a "%appdata%\Microsoft\Windows\Start Menu\Programs\Startup">>"%temp%\r.txt" & dir /a "%allusersprofile%\Microsoft\Windows\Start Menu\Programs\Startup">>"%temp%\r.txt" & echo == Info ==>>"%temp%\r.txt" & systeminfo>>"%temp%\r.txt" & echo == Route ==>>"%temp%\r.txt" & route print>>"%temp%\r.txt" & echo == Ip ==>>"%temp%\r.txt" & ipconfig /all>>"%temp%\r.txt" & echo == arp ==>>"%temp%\r.txt" & arp -a>>"%temp%\r.txt" & echo == Recent ==>>"%temp%\r.txt" & dir /a "%appdata%\Microsoft\Windows\Recent">>"%temp%\r.txt" & echo == WMIC ==>>"%temp%\r.txt" & wmic startup >> "%temp%\r.txt" & echo == Local ==>>"%temp%\r.txt" & dir /a "%localappdata%">>"%temp%\r.txt" & echo == ProgD ==>>"%temp%\r.txt" & dir /a "%allusersprofile%">>"%temp%\r.txt")
在深入分析2023年的RokRat恶意软件样本时,我们发现它在整体功能方面大体延续了2022年版本的核心特征,尤其是在云服务利用策略上。这一持续性表明攻击者对于其所采用的云服务策略的有效性和可靠性仍然抱有强烈的信心。然而,在某些具体操作的执行方式上,我们观察到了一些变化。2023年的样本没有继续采用2022年版本中的清理注册表痕迹的方法,而是回归到了更早版本的策略,即通过命令提示符直接清理文件和痕迹。这一改变可能是攻击者在权衡系统影响、隐蔽性和适应性后的精心考量,反映了他们在维持操作方面的策略微调,旨在提高隐蔽性和效率,同时确保对系统的最小影响,从而更有效地规避安全措施的检测。
del "%appdata%\Microsoft\Windows\Start Menu\Programs\Startup\*.VBS" "%appdata%\*.CMD" "%appdata%\*.BAT" "%appdata%\*01" "%appdata%\Microsoft\Windows\Start Menu\Programs\Startup\*.lnk" "%allusersprofile%\Microsoft\Windows\Start Menu\Programs\Startup\*.lnk" /F /Q
reg delete HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run /v OfficeBootPower /f & reg delete HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run /v OfficeBootPower /f & del c:\\programdata\\30
del "%appdata%\Microsoft\Windows\Start Menu\Programs\Startup\*.VBS" …
此外,RokRat是一种基于云的远程访问工具,自2016年以来就一直是APT-C-28在其众多攻击活动中频繁使用的工具。RokRat的持续使用表明该工具在帮助APT-C-28实现其复杂的情报窃取活动方面扮演了关键角色。通过这种高级的远程访问工具,APT-C-28能够有效地渗透目标网络,窃取关键信息,并对受害者进行长期的监控。
360高级威胁研究院监测到APT-C-28组织在进行一次精心策划的网络攻击。该组织利用伪装成“朝鲜人权专家辩论”的恶意LNK文件,作为向目标传递RokRat恶意软件的手段。我们在这次攻击中捕获的初始样本是一个压缩文件,里面含有伪装的恶意LNK文件。当执行这个LNK文件时,它会诱导用户下载并运行RokRat恶意软件。根据以往的公开威胁情报资料,我们推断这次攻击的初始载荷很可能是通过钓鱼邮件发送的。
1.攻击流程分析 我们最初截获的恶意载荷是一个压缩文件,其中包含了恶意的LNK文件。根据我们分析的公开威胁情报资料,这个初始样本很可能是通过恶意邮件传播的。当用户激活这个恶意LNK文件时,它会提取出一个恶意的BAT文件和PowerShell脚本。这个BAT文件随后调用PowerShell脚本,从DropBox云服务下载下一个阶段的加密载荷。接下来,通过应用XOR算法对加密载荷进行解密,从而得到shellcode。然后,这个shellcode会在一个新创建的线程中被加载,其内部解密硬编码的数据以获取RokRat恶意软件。这一系列步骤揭示了恶意软件的复杂传播和激活机制。
2.载荷投递分析
2.1.载荷投递方式
根据我们分析的公开威胁情报资料,我们推测这次网络攻击的初始载荷很可能是通过恶意邮件传播的。不过我们目前只能捕获到涉及的压缩文件和恶意LNK文件。这个恶意LNK文件包含的代码被用来下载并加载后续的攻击载荷。
2.2.恶意载荷分析
攻击者通过发送以“朝鲜人权专家辩论”相关内容为诱饵的LNK文件,诱使目标用户执行该文件。该LNK文件内嵌有恶意的 PowerShell代码,用于在特定目录下隐蔽地搜索并执行多个操作,主要功能如下:
MD5
D11D3032E7C38FA314A55AC4B5E61C5D
SHA1
47E54EE76620AA2F50DFCC120E60BB20B9CD534F
SHA256
3FD02C7057EF1324AD74714A7FC4B00AC338CFB172A788D98E5A781548B8F027
文件类型
Windows shortcut
文件名
북한인권전문가토론회.lnk
1).利用 user32.dll 动态链接库隐藏命令行窗口,以减少用户的警觉性;
2).在特定目录搜索特定大小的.lnk 文件,并对其进行一系列操作:从.lnk 文件中提取嵌入的 PDF 文件并将其保存在相同目录下,接着执行该 PDF 文件;
3).提取一个内嵌的可执行文件并以.dat格式保存在系统的Public目录;
4).提取并保存一个批处理文件(.bat),命名为 북한인권전문가토론회061223.bat,并存储在 Public 目录中,随后执行它。
5).在执行这些操作之后,脚本清理其痕迹,删除原始的.lnk 文件,并终止执行。整个过程虽然复杂,但目的在于无声无息地执行多种潜在恶意操作。
提取的dat文件包含了一段 PowerShell 脚本,它主要负责将十六进制数据转换为字符串,并以无限循环的方式执行。提取出来的脚本具体执行以下功能:
1).从指定Dropbox 链接下载数据;2).更改内存区域的保护属性,使其可执行,接着对下载的数据通过异或 (XOR) 操作进行解密;4).如果在下载或处理数据过程中出现异常,脚本会暂停(11秒),然后重试整个过程。
3.攻击组件分析 解密的shellcode从硬编码的加密数据处解密出PE文件,解密的PE文件是2023年编译的的RokRat木马。最后将RokRat加载到内存后跳转到入口点执行。
我们此次捕获的是一个编译日期为2023年12月02日的RokRat恶意软件样本。此次发现为我们提供了一个宝贵的机会,来深入分析和对比RokRat的演变路径。我们曾在2022年末披露过该恶意软件的功能特征[1],并将其与几年前的RokRat版本进行了比较。本次,我们着重分析了2023年末编译的RokRat样本,以探究其在攻击技术和策略方面的最新变化。初步分析表明,这个新样本在功能上与先前的版本相似,主要通过攻击者控制的云服务接收指令,并根据这些指令执行各种恶意活动。
MD5
4E231F708755A69AF49C8DE135A8E25E
SHA1
C280FC3538BFE163C981A89D7509823E8C9FB060
SHA256
A9CBB1927B391173265FF7A4FDEFED59AFEDDD5B245A2A58C2637B01F87F6119
文件类型
PE32 Execurable
编译时间
2023-12-02
11:02:17
接下来,让我们总结RokRat恶意软件中各种控制指令及其对应的功能。
执行删除特定文件的命令,如删除启动项、批处理文件等,然后退出。
(命令执行:
del"%appdata%\Microsoft\Windows\Start Menu\Programs\Startup\*.VBS" "%appdata%\*.CMD" "%appdata%\*.BAT"
"%appdata%\*01" "%appdata%\Microsoft\Windows\Start Menu\Programs\Startup\*.lnk" "%allusersprofile%\Microsoft\Windows\Start Menu\Programs\Startup\*.lnk" /F /Q)
执行删除特定文件的命令,随后退出。
(命令执行:
del "%appdata%\Microsoft\Windows\Start Menu\Programs\Startup\*.VBS" "%appdata%\*.CMD" "%appdata%\*.BAT" "%appdata%\*01" /F /Q)
遍历系统上的所有逻辑驱动器,获取驱动器所有文件信息并上传。在成功获取载荷的情况下,创建线程执行载荷并收集系统信息。
(命令执行:
在成功获取载荷的情况下,获取载荷解密并写入到KB400928_doc.exe文件中并执行。
tasklist>>"%temp%\r.txt" & echo == Startup ==>>"%temp%\r.txt" & dir /a "%appdata%\Microsoft\Windows\Start Menu\Programs\Startup">>"%temp%\r.txt" & dir /a "%allusersprofile%\Microsoft\Windows\Start Menu\Programs\Startup">>"%temp%\r.txt" & echo == Info ==>>"%temp%\r.txt" & systeminfo>>"%temp%\r.txt" & echo == Route ==>>"%temp%\r.txt" & route print>>"%temp%\r.txt" & echo == Ip ==>>"%temp%\r.txt" & ipconfig /all>>"%temp%\r.txt" & echo == arp ==>>"%temp%\r.txt" & arp -a>>"%temp%\r.txt" & echo == Recent ==>>"%temp%\r.txt" & dir /a "%appdata%\Microsoft\Windows\Recent">>"%temp%\r.txt" & echo == WMIC ==>>"%temp%\r.txt" & wmic startup >> "%temp%\r.txt" & echo == Local ==>>"%temp%\r.txt" & dir /a "%localappdata%">>"%temp%\r.txt" & echo == ProgD ==>>"%temp%\r.txt" & dir /a "%allusersprofile%">>"%temp%\r.txt")
在深入分析2023年的RokRat恶意软件样本时,我们发现它在整体功能方面大体延续了2022年版本的核心特征,尤其是在云服务利用策略上。这一持续性表明攻击者对于其所采用的云服务策略的有效性和可靠性仍然抱有强烈的信心。然而,在某些具体操作的执行方式上,我们观察到了一些变化。2023年的样本没有继续采用2022年版本中的清理注册表痕迹的方法,而是回归到了更早版本的策略,即通过命令提示符直接清理文件和痕迹。这一改变可能是攻击者在权衡系统影响、隐蔽性和适应性后的精心考量,反映了他们在维持操作方面的策略微调,旨在提高隐蔽性和效率,同时确保对系统的最小影响,从而更有效地规避安全措施的检测。
del "%appdata%\Microsoft\Windows\Start Menu\Programs\Startup\*.VBS" "%appdata%\*.CMD" "%appdata%\*.BAT" "%appdata%\*01" "%appdata%\Microsoft\Windows\Start Menu\Programs\Startup\*.lnk" "%allusersprofile%\Microsoft\Windows\Start Menu\Programs\Startup\*.lnk" /F /Q
reg delete HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run /v OfficeBootPower /f & reg delete HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run /v OfficeBootPower /f & del c:\\programdata\\30
del "%appdata%\Microsoft\Windows\Start Menu\Programs\Startup\*.VBS" …
IoC
0af3b744c9d5deeb1697ce2a3565624b
3FD02C7057EF1324AD74714A7FC4B00AC338CFB172A788D98E5A781548B8F027
47E54EE76620AA2F50DFCC120E60BB20B9CD534F
4E231F708755A69AF49C8DE135A8E25E
A9CBB1927B391173265FF7A4FDEFED59AFEDDD5B245A2A58C2637B01F87F6119
C280FC3538BFE163C981A89D7509823E8C9FB060
D11D3032E7C38FA314A55AC4B5E61C5D
http://dl.dropboxusercontent.com/scl/fi/99el46xk80wjrz82avbbb/hybrid_x64.zip?rlkey=dmkh2dcrdi3vjny6s3ahs2wa4&dl=0[1]https://mp.weixin.qq.com/s/RjvwKH6UBETzUVtXje_bIA[2]https://mp.weixin.qq.com/s?__biz=MzUyMjk4NzExMA%3D%3D&mid=2247492864&idx=1&sn=0af3b744c9d5deeb1697ce2a3565624b
https://dl.dropboxusercontent.com/scl/fi/99el46xk80wjrz82avbbb/hybrid_x64.zip?rlkey=dmkh2dcrdi3vjny6s3ahs2wa4&dl=0
3FD02C7057EF1324AD74714A7FC4B00AC338CFB172A788D98E5A781548B8F027
47E54EE76620AA2F50DFCC120E60BB20B9CD534F
4E231F708755A69AF49C8DE135A8E25E
A9CBB1927B391173265FF7A4FDEFED59AFEDDD5B245A2A58C2637B01F87F6119
C280FC3538BFE163C981A89D7509823E8C9FB060
D11D3032E7C38FA314A55AC4B5E61C5D
http://dl.dropboxusercontent.com/scl/fi/99el46xk80wjrz82avbbb/hybrid_x64.zip?rlkey=dmkh2dcrdi3vjny6s3ahs2wa4&dl=0[1]https://mp.weixin.qq.com/s/RjvwKH6UBETzUVtXje_bIA[2]https://mp.weixin.qq.com/s?__biz=MzUyMjk4NzExMA%3D%3D&mid=2247492864&idx=1&sn=0af3b744c9d5deeb1697ce2a3565624b
https://dl.dropboxusercontent.com/scl/fi/99el46xk80wjrz82avbbb/hybrid_x64.zip?rlkey=dmkh2dcrdi3vjny6s3ahs2wa4&dl=0