近日，与朝鲜有关的被追踪为APT37的威胁行为者与一种名为M2RAT的新恶意软件有关，该恶意软件针对其“南部”对手发起攻击，表明该组织的特征和策略在不断演变。 APT37 也以 Reaper、RedEyes、Ricochet Chollima 和 ScarCruft 的绰号进行跟踪，与朝鲜国家安全部 (MSS) 有关联，这与隶属于侦察总局 (RGB) 的 Lazarus 和 Kimsuky 威胁集群不同。 据谷歌旗下的 Mandiant 称，MSS 的任务是“国内反间谍和海外反情报活动”，APT37 的攻击活动反映了该机构的优先事项。历史上，这些行动专门针对叛逃者和人权活动家等个人。 “APT37 评估的主要任务是秘密收集情报，以支持朝鲜的战略军事、政治和经济利益，”这家威胁情报公司表示。 众所周知，威胁行为者依靠定制工具（如 Chinotto、RokRat、BLUELIGHT、GOLDBACKDOOR 和 Dolphin）从受感染主机收集敏感信息。 “这次 RedEyes Group 攻击案例的主要特征是它利用了 Hangul EPS 漏洞并使用隐写技术来分发恶意代码，”AhnLab 安全应急响应中心 (ASEC) 在周二发布的一份报告中表示。 2023 年 1 月观察到的感染链以一个诱饵韩文文件开始，该文件利用文字处理软件中现已修补的漏洞 ( CVE-2017-8291 ) 触发从远程服务器下载图像的 shellcode。 JPEG 文件使用隐写技术来隐藏可移植的可执行文件，该可执行文件在启动时会下载 M2RAT 植入程序并将其注入合法的 explorer.exe 进程。 虽然持久性是通过修改 Windows 注册表实现的，但 M2RAT 充当后门，能够进行键盘记录、屏幕捕获、进程执行和信息窃取。与 Dolphin 一样，它也被设计为从可移动磁盘和连接的智能手机中吸取数据。 ASEC 表示：“这些 APT 攻击很难防御，尤其是 RedEyes 组织以主要针对个人而闻名，因此非企业个人甚至很难识别这种损害。” 这不是 CVE-2017-8291 第一次被朝鲜威胁者武器化。据Recorded Future报道，2017 年末，有人观察到 Lazarus Group 以韩国加密货币交易所和用户为目标部署 Destover 恶意软件。     转自 E安全，原文链接：https://mp.weixin.qq.com/s/UFFbkYPoMZZ0t_CC3q1bVQ 封面来源于网络，如有侵权请联系删除

Securonix 威胁研究 (STR) 团队的研究人员发现了一个新的攻击活动，被跟踪为 STIFF#BIZON，针对多个国家的高价值组织，包括捷克共和国和波兰。研究人员将此活动归因于与朝鲜有关的APT37组织，即 Ricochet Chollima。 攻击者使用了Konni RAT（远程访问木马），该木马于 2017 年由 Cisco Talos 研究人员首次发现，自 2014 年以来一直未被发现，同时被用于高度针对性的攻击。RAT由于不断进化而能够避免检测，它能够在目标系统上执行任意代码并窃取数据。 Konni RAT 被归咎于与朝鲜有关的威胁行为者，被追踪为APT37。攻击链从试图诱骗受害者打开恶意附件的网络钓鱼邮件开始。 此活动中使用的附件是一个包含 Word 文档 (missile.docx) 和 Windows 快捷方式文件 (_weapons.doc.lnk.lnk) 的档案。 一旦打开 LNK 文件，感染链就会启动。 “代码执行首先将一小段代码嵌入到快捷方式文件中，当用户双击它时，该快捷方式文件将与预期的二进制文件一起运行和执行。” 阅读专家发表的分析。“此代码运行并执行附加到 missile.docx 文件末尾的 Base64 编码文本。” Base64 有效负载与联系 C2 以下载和执行“weapons.doc”和“wp.vbs”文件的 PowerShell 脚本一起执行。 Weapons.doc 是一个诱饵文件，而 wp.vbs 在后台静默运行，并在名为“Office Update”的主机上创建一个计划任务，该任务执行以 Base64 编码的 PowerShell 脚本。 此时，C2 通信再次建立，允许攻击者访问系统。 一旦 Konni RAT 被加载到受感染的系统上，威胁参与者就可以使用特定模块实现以下功能： Capture.net.exe – 使用 Win32 GDI API 捕获屏幕截图并将 gzip 压缩的结果上传到 C2 服务器。 chkey.net.exe – 提取存储在本地状态文件中的状态密钥，使用 DPAPI 加密。状态密钥允许攻击者解密 cookie 数据库解密，这在绕过 MFA 时很有用。 pull.net.exe – 从受害者的网络浏览器中提取保存的凭据。 shell.net.exe – 建立一个可以每 10 秒运行一次命令的远程交互式 shell。 为了进一步保持持久性，威胁参与者使用 Konni 恶意软件的修改版本，他们能够下载一个 .cab 文件，其中包含与恶意软件相关的多个文件（bat、dll、dat、ini、dll）。 专家们还讨论了在俄罗斯境内的 APT28 组织可能伪装成 APT37 的假旗行动的可能性。 “此外，在这次攻击和我们之前从 FancyBear/APT28 [3]中看到的历史数据之间，IP 地址、托管服务提供商和主机名之间似乎存在直接关联。最后，这个特殊案例的有趣之处在于，它使用了 Konni 恶意软件以及与 APT28 的相似之处。” 转自 E安全，原文链接：https://mp.weixin.qq.com/s/4inyisUnYXp2wHEpiKKgdA 封面来源于网络，如有侵权请联系删除