APT-C-28(ScarCruft)组织针对能源方向投放Rokrat后门活动分析
Contents
APT-C-28(ScarCruft)组织又名APT37(Reaper)、Group123,是一个来自于东北亚地区的境外APT组织,其相关攻击活动最早可追溯到2012年,且至今依然保持活跃状态。APT-C-28组织主要针对韩国等亚洲国家进行网络攻击活动,针对包括化学、电子、制造、航空航天、汽车和医疗保健等多个行业,其中以窃取战略军事、政治、经济利益相关的情报和敏感数据为主。近期,360高级威胁研究院捕获到APT-C-28(ScarCruft)组织的一起以能源方向诱饵文件投递Rokrat后门木马的攻击活动,攻击者投递内嵌恶意代码和PDF文档的LNK文件,LNK文件运行后从第三方云服务中下载Rokrat后门注入到PowerShell中运行。Rokrat木马是APT-C-28组织武器化后门软件,Rokrat木马可具备获取计算机敏感信息、上下发文件运行、捕获屏幕截图和键盘输入等功能,且惯用云储存API实现后门指令和文件的下发。
一、受影响情况
攻击者以Sharara到Mellitah 石油管道信息向目标人员进行投递,该石油管道位于利比亚承担从利比亚Wadi al-Hayaa区到利比亚Nuqat al Khams区的石油输送任务。
二、攻击活动分析
1.攻击流程分析
完整的攻击流程如下:
2.恶意载荷分析
攻击者于LNK文件中填充了大量垃圾数据使得文件达到40MB+大小,并在LNK文件中内嵌诱饵PDF文档使用PowerShell对PDF文件进行落地并打开。
LNK文件运行后其中内嵌的恶意代码会从LNK文件中分别定位PDF文档和BAT文件数据先后将其落地到%temp%文件夹内执行。
BAT文件写入的是用于下载Rokrat主体文件的恶意代码。
恶意代码从OneDrive中下载Rokrat木马主体数据进行异或解密后将其加载至内存中运行。
3.攻击组件分析
由OneDrive中下载执行的Rokrat木马与以往APT-C-28组织中攻击活动中所使用的基本变化不大。利用公共云盘进行指令通行、文件下发上传,获取计算机名称、用户名、BIOS、系统版本等敏感信息,以及通过判断vmtoolsd版本用来确定是否在虚拟环境。
攻击者在样本中搭载了pcloud、Yandex、Dropbox等三个云盘的API利用方法以及要使用的云盘token。
确认token有效后使用API从云盘指定目录获取后门指令信息用于攻击指令下发。
字符指令
功能
0,g
重连
1,2,3,4,5,7,8
无
i
屏幕截图并上传
j,b
退出
d,f
指定命令执行,删除指定目录文件
h
遍历目录输出到文件并上传
e
命令执行
c
指定文件上传
9
下发文件到指定目录
此处捕获的Rokrat木马与以往披露的Rokrat版本变化不大,从文件命名、代码结构以及后门功能都变化不大。网络行为中更是沿用了以往惯用Content-Type信息。
以往报告所披露的Rokrat木马中使用的Content-Type字段信息。
85e71578ad7fea3c15095b6185b14881
4D3464B23DD4FB141C8FCC4CBF541832
7B7C43ED1EB6A423BDCFD0484FE560C3
2C180BF7A1E6DBE84060C3B5AA53FEB7(PDF)
4FE698C235D03A271305DB8FFDAA9E36(OneDrive下载密文)
https://api.onedrive.com/v1.0/shares/u!aHR0cHM6Ly8xZHJ2Lm1zL3UvcyFBalFOTHZFRV9DVU9iUFdnLXhPZG8xRXFYckU_ZT1BM1QwV2Q/root/content
https://www.cisa.gov/news-events/analysis-reports/ar20-133dhttps://www.volexity.com/blog/2021/08/24/north-korean-bluelight-special-inkysquid-deploys-rokrat/
360高级威胁研究院360高级威胁研究院是360数字安全集团的核心能力支持部门,由360资深安全专家组成,专注于高级威胁的发现、防御、处置和研究,曾在全球范围内率先捕获双杀、双星、噩梦公式等多起业界知名的0day在野攻击,独家披露多个国家级APT组织的高级行动,赢得业内外的广泛认可,为360保障国家网络安全提供有力支撑。
一、受影响情况
攻击者以Sharara到Mellitah 石油管道信息向目标人员进行投递,该石油管道位于利比亚承担从利比亚Wadi al-Hayaa区到利比亚Nuqat al Khams区的石油输送任务。
二、攻击活动分析
1.攻击流程分析
完整的攻击流程如下:
2.恶意载荷分析
攻击者于LNK文件中填充了大量垃圾数据使得文件达到40MB+大小,并在LNK文件中内嵌诱饵PDF文档使用PowerShell对PDF文件进行落地并打开。
LNK文件运行后其中内嵌的恶意代码会从LNK文件中分别定位PDF文档和BAT文件数据先后将其落地到%temp%文件夹内执行。
BAT文件写入的是用于下载Rokrat主体文件的恶意代码。
恶意代码从OneDrive中下载Rokrat木马主体数据进行异或解密后将其加载至内存中运行。
3.攻击组件分析
由OneDrive中下载执行的Rokrat木马与以往APT-C-28组织中攻击活动中所使用的基本变化不大。利用公共云盘进行指令通行、文件下发上传,获取计算机名称、用户名、BIOS、系统版本等敏感信息,以及通过判断vmtoolsd版本用来确定是否在虚拟环境。
攻击者在样本中搭载了pcloud、Yandex、Dropbox等三个云盘的API利用方法以及要使用的云盘token。
确认token有效后使用API从云盘指定目录获取后门指令信息用于攻击指令下发。
字符指令
功能
0,g
重连
1,2,3,4,5,7,8
无
i
屏幕截图并上传
j,b
退出
d,f
指定命令执行,删除指定目录文件
h
遍历目录输出到文件并上传
e
命令执行
c
指定文件上传
9
下发文件到指定目录
此处捕获的Rokrat木马与以往披露的Rokrat版本变化不大,从文件命名、代码结构以及后门功能都变化不大。网络行为中更是沿用了以往惯用Content-Type信息。
以往报告所披露的Rokrat木马中使用的Content-Type字段信息。
85e71578ad7fea3c15095b6185b14881
4D3464B23DD4FB141C8FCC4CBF541832
7B7C43ED1EB6A423BDCFD0484FE560C3
2C180BF7A1E6DBE84060C3B5AA53FEB7(PDF)
4FE698C235D03A271305DB8FFDAA9E36(OneDrive下载密文)
https://api.onedrive.com/v1.0/shares/u!aHR0cHM6Ly8xZHJ2Lm1zL3UvcyFBalFOTHZFRV9DVU9iUFdnLXhPZG8xRXFYckU_ZT1BM1QwV2Q/root/content
https://www.cisa.gov/news-events/analysis-reports/ar20-133dhttps://www.volexity.com/blog/2021/08/24/north-korean-bluelight-special-inkysquid-deploys-rokrat/
360高级威胁研究院360高级威胁研究院是360数字安全集团的核心能力支持部门,由360资深安全专家组成,专注于高级威胁的发现、防御、处置和研究,曾在全球范围内率先捕获双杀、双星、噩梦公式等多起业界知名的0day在野攻击,独家披露多个国家级APT组织的高级行动,赢得业内外的广泛认可,为360保障国家网络安全提供有力支撑。
IoC
2C180BF7A1E6DBE84060C3B5AA53FEB7
4D3464B23DD4FB141C8FCC4CBF541832
4FE698C235D03A271305DB8FFDAA9E36
7B7C43ED1EB6A423BDCFD0484FE560C3
85e71578ad7fea3c15095b6185b14881
https://1drv.ms/u/s!AjQNLvEE_CUObPWg-xOdo1EqX
https://api.onedrive.com/v1.0/shares/u!aHR0cHM6Ly8xZHJ2Lm1zL3UvcyFBalFOTHZFRV9DVU9iUFdnLXhPZG8xRXFYckU_ZT1BM1QwV2Q/root/content
4D3464B23DD4FB141C8FCC4CBF541832
4FE698C235D03A271305DB8FFDAA9E36
7B7C43ED1EB6A423BDCFD0484FE560C3
85e71578ad7fea3c15095b6185b14881
https://1drv.ms/u/s!AjQNLvEE_CUObPWg-xOdo1EqX
https://api.onedrive.com/v1.0/shares/u!aHR0cHM6Ly8xZHJ2Lm1zL3UvcyFBalFOTHZFRV9DVU9iUFdnLXhPZG8xRXFYckU_ZT1BM1QwV2Q/root/content