Uma campanha clandestina na qual os atores de ameaças estão armar um documento de PDF de aparência legítima, intitulada “국가정보연구회 소식지 (52 호)” (Newsletter da National Intelligence Research Society-Edição 52), juntamente com um arquivo de atalho de janelas malicioso (LNK) chamado 국가정보연구회 (52 호) .pdf.lnk.
Os atacantes distribuem os dois arquivos juntos – no mesmo arquivo ou como anexos aparentemente relacionados.
Quando as vítimas abrem o arquivo LNK, ele executa silenciosamente uma carga útil do PowerShell que baixa e executa malware adicional, permitindo que os atacantes ganhem posição no sistema de destino.
As principais metas parecem ser indivíduos associados à Associação Nacional de Pesquisa em Inteligência, incluindo acadêmicos, ex -funcionários do governo e pesquisadores.
Os adversários visam roubar informações confidenciais, estabelecer persistência e conduzir espionagem a longo prazo.
As evidências apontam para o envolvimento do APT-37-também conhecido como Inkysquid, Scarcruft, Reaper, Group123, Temp.Reaper ou Ricochet Chollima-um grupo de espionagem cibernética patrocinado pelo Estado norte-coreano ativo desde pelo menos 2012.
Embora o APT-37 normalmente se concentre na Coréia do Sul, suas operações também impactaram o Japão, o Vietnã, a Rússia, o Nepal, a China, a Índia, a Romênia, o Kuwait e vários países do Oriente Médio.
A cadeia de infecções começa quando um usuário abre o arquivo LNK.
Um Trace Procmon revela que os scripts incorporados do PowerShell extraem várias cargas úteis de dentro do próprio .lnk.
Especificamente, o script lê dados binários de compensações predefinidas – 0x0000102C para o engodo PDF, 0x0007EdC1 para um binário de carregador, 0x0015A851 para comandos de script e 0x0015AED2 para a carga útil final.
Esses fragmentos são reconstruídos em arquivos separados (aio0.dat, aio1.dat, aio2.dat e aio1+3.b+la+t) no diretório % temp %.
Um arquivo em lote (AIO03.bat) então chama Powershell Invocar-se-comando para carregar a carga útil final inteiramente na memória, exemplificando a execução sem arquivo por meio de injeção de DLL reflexiva.
O estágio da memória decodifica o executável criptografado do XOR (AIO01.dat) usando uma chave de byte única (0x35), aloca a memória executável com o GlobalAlloc e o VirtualProtect e inicia um novo thread via createethread.
Análise do executável extraído revela Comportamentos clássicos de malware Rokrat: impressão digital do host (incluindo verificações WoW64, nome do computador, informações da BIOS), testes de criação de arquivos anti-VM, rotinas de captura de captura de tela e um conjunto de comandos de caracteres únicos para a execução do código de shell remoto, exfiltração de arquivos, enumeração do sistema e comandando a tomada.
A carga útil exfiltra os documentos (por exemplo, .doc, .xls, .ppt, .pdf, .hwp) imitando os carregamentos de arquivo de navegador legítimos para um endpoint c2 codificado em diariamente.altop.asia, depois exclui cópias locais para cobrir suas trilhas.
A Campanha 2 apresenta uma entrega semelhante à LNK usando um documento de engodo atribuído à declaração de Kim Yō-Jong em 28 de julho relatada pela KCNA.
O .lnk solta um documento do Word (file.doc) e lança um carregador PowerShell altamente ofuscado via Tony33.BAT e Tony32.Dat, que dobra um duplo de uma carga útil base64 em um binário binário criptografado XOR, armazenado em Tony31.dat.
Uma vez decodificada usando a chave 0x37, a carga útil é executada diretamente na memória, baixará componentes adicionais como o ABS.TMP do armazenamento em nuvem e persiste por meio de tarefas programadas antes de limpar os arquivos de estadiamento.
Durante as duas campanhas, o APT-37 alavanca o público Serviços em nuvem—DropBox, Pcloud e Yandex.Disk – para hospedar canais C2.
O malware usa pontos de extremidade legítimos da API para listagem, upload, download e exclusão de arquivos, misturando tráfego malicioso com interações normais em nuvem.
Essa abordagem furtiva ressalta o trocador avançado e a capacidade avançado do grupo de evitar os controles de segurança tradicionais.
O Seqrite Lab chamou essa operação Hankook Phantom, combinando “Hankook” (한국 한국, Coréia) com “Phantom” para refletir o foco geográfico e as técnicas evasivas e furtivas empregadas.
Hankook Phantom ilustra como os atores patrocinados pelo Estado continuam a refinar metodologias de phishing de lança, armar os formatos de arquivos diários e adotar a execução sem arquivo para manter o acesso a longo prazo.
Os defensores devem adotar o monitoramento proativo de ameaças baseadas em LNK, aprimorar a detecção de padrões de execução na memória e examinar uploads http de saída para anomalias no tipo de arquivo e cabeçalhos de MIME.
Somente através de defesas em camadas e compartilhamento de inteligência de ameaças podem as organizações mitigam o perigo persistente representado pelo arsenal em evolução do APT-37.
Encontre esta história interessante! Siga -nosLinkedIneXPara obter mais atualizações instantâneas.