導航儀

APT37(高級持續威脅)是一個已經存在了一段時間的黑客組織,據信它與朝鮮政府合作(儘管尚未完全確定這一信息)。 APT37小組的大多數目標都集中在韓國,十個目標相當引人注目。最近,APT37使用魚叉式網絡釣魚電子郵件來傳播稱為NavRAT(遠程訪問木馬)的威脅。惡意軟件研究人員認為,攻擊者使用的傳送方法相當有趣。有趣的是,涉及NavRAT的戰役中使用的基礎設施也不是很傳統。

通過魚叉式網絡釣魚電子郵件進行傳播

上述魚叉式網絡釣魚電子郵件將包含受感染的附件,其格式為" .HWP"。該損壞的文件名為"美朝朝鮮峰會的前景"。符合文檔結構約定(DSC)的PostScript文檔,在這種情況下,封裝的PostScript(EPS)佈局打包了混淆的shellcode,只有在滿足所有要求時才運行。一旦威脅加劇並開始運行,它將確保連接到其操作員的服務器(位於韓國),並獲取攻擊者想要植入主機的主要惡意軟件。 ,NavRAT。

獲得持久性並安靜地操作

NavRAT木馬會將其文件插入'%PROGRAMDATA%\ AhnLab'文件夾中。有問題的數據存儲在名為" GoogleUpdate.exe"的文件中。值得注意的是,由於APT37的目標位於韓國,因此攻擊者選擇使用AhnLab這個名稱,因為該名稱通常與該地區一家頗受歡迎的網絡安全公司相關。當NavRAT成功滲透到主機時,它還將確保它在受感染的系統上具有持久性。這是通過生成註冊表項來完成的,該註冊表項旨在指示Windows在重新引導系統時運行NavRAT Trojan。為最大程度地減少發現威脅的機會,APT37已使用合法的運行進程作為其損壞代碼的主機。

NavRAT具有大多數遠程訪問特洛伊木馬的功能:

  • 執行遠程命令。
  • 收集擊鍵。
  • 下載並執行文件。
  • 上傳並執行文件。

NavRAT木馬通過電子郵件與其操作員進行通信

但是,NavRAT不是通過威脅與遠程C&C(命令與控制)服務器之間的常規通信方法,而是通過電子郵件附件與其操作員進行通信。 APT37黑客組織利用的電子郵件服務稱為Naver,在韓國頗受歡迎。 NavRAT木馬程序的作者已確保在要分發的威脅的每個副本中都包含登錄憑據和電子郵件地址。 NavRAT威脅還通過電子郵件附件接收其他惡意軟件的負載。

此後,出於惡意的行為者所使用的合法電子郵件服務就嗅出了可疑個人的帳戶,並關閉了帳戶,因為他們不僅有責任確保客戶安全,而且還與一個備受矚目的朝鮮黑客組織有聯繫確實不是一個好的代表。

熱門

最受關注

加載中...