导航仪

APT37（高级持续威胁）是一个已经存在了一段时间的黑客组织，据信它与朝鲜政府合作（尽管尚未完全确定这一信息）。 APT37小组的大多数目标都集中在韩国，十个目标相当引人注目。最近，APT37使用鱼叉式网络钓鱼电子邮件来传播称为NavRAT（远程访问木马）的威胁。恶意软件研究人员认为，攻击者使用的传送方法相当有趣。有趣的是，涉及NavRAT的战役中使用的基础设施也不是很传统。

通过鱼叉式网络钓鱼电子邮件进行传播

上述鱼叉式网络钓鱼电子邮件将包含受感染的附件，其格式为" .HWP"。该损坏的文件名为"美朝朝鲜峰会的前景"。符合文档结构约定（DSC）的PostScript文档，在这种情况下，封装的PostScript（EPS）布局打包了混淆的shellcode，只有在满足所有要求时才运行。一旦威胁加剧并开始运行，它将确保连接到其操作员的服务器（位于韩国），并获取攻击者想要植入主机的主要恶意软件。 ，NavRAT。

获得持久性并安静地操作

NavRAT木马会将其文件插入"％PROGRAMDATA％\ AhnLab"文件夹。有问题的数据存储在名为" GoogleUpdate.exe"的文件中。值得注意的是，由于APT37的目标位于韩国，因此攻击者选择使用AhnLab这个名称，因为该名称通常与该地区一家颇受欢迎的网络安全公司相关。当NavRAT成功渗透到主机时，它还将确保它在受感染的系统上获得持久性。这是通过生成注册表项来完成的，该注册表项旨在指示Windows在重新引导系统时运行NavRAT Trojan。为最大程度地减少发现威胁的机会，APT37已使用合法的运行进程作为其损坏代码的主机。

NavRAT具有大多数远程访问特洛伊木马的功能：

• 执行远程命令。
• 收集击键。
• 下载并执行文件。
• 上传并执行文件。

NavRAT木马通过电子邮件与其操作员进行通信

但是，NavRAT不是通过威胁与远程C＆C（命令与控制）服务器之间的常规通信方法，而是通过电子邮件附件与其操作员进行通信。 APT37黑客组织利用的电子邮件服务称为Naver，在韩国颇受欢迎。 NavRAT木马程序的作者已确保在要分发的威胁的每个副本中都包含登录凭据和电子邮件地址。 NavRAT威胁还通过电子邮件附件接收其他恶意软件的负载。

此后，出于恶意的行为者所使用的合法电子邮件服务就嗅出了可疑个人的帐户，并关闭了帐户，因为他们不仅有责任确保客户安全，而且还与一个备受瞩目的朝鲜黑客组织有联系确实不是一个好的代表。