APT37, также известная как ScarCruft, Reaper и Red Eyes - северокорейская хакерская группировка, спонсируемая государством и действующая с 2012 года. Изначально ее деятельность была сосредоточена на правительственном и частном секторах Южной Кореи, но в 2017 году она расширила круг своих целей, включив в него Японию, Вьетнам, Ближний Восток и такие отрасли, как здравоохранение и производство. К 2023 году APT37 переключилась на фишинговые кампании, направленные на пользователей Windows и Android.
APT37
Группа известна тем, что использует различные векторы атак, в том числе вредоносные LNK-файлы, распространяемые через групповые чаты для заражения жертв. Атака начинается с фишинговых писем, содержащих ZIP-вложения, в которых скрываются вредоносные LNK-файлы, замаскированные под документы, связанные с делами Северной Кореи или торговыми соглашениями. После выполнения LNK-файла начинается многоступенчатая атака с использованием пакетных скриптов и PowerShell, а конечной полезной нагрузкой становится RokRat.
RokRat, вредоносная программа, используемая APT37, собирает подробную информацию о системе, включая версию ОС, имя компьютера, зарегистрированного пользователя и путь к файлу. Он также собирает информацию об аппаратном обеспечении, отслеживает время работы системы, составляет список запущенных процессов и делает скриншоты. Затем эти данные отправляются на командно-контрольный сервер (C2).
RokRat использует облачные сервисы, такие как pCloud, Yandex и Dropbox, в качестве каналов связи C2, используя их API для отправки, загрузки и удаления файлов. В код также встроены токены OAuth для обеспечения беспрепятственного взаимодействия с этими сервисами.
Благодаря возможности выполнять команды на зараженной системе, RokRat позволяет злоумышленникам осуществлять широкий спектр действий, включая утечку данных, разведку системы и завершение процессов. Можно выполнять удаленные команды через cmd.exe, собирать и загружать файлы, сканировать системные диски, удалять определенные файлы и получать дополнительную полезную нагрузку из системы C2.
Процесс заражения начинается с фишинговых писем, которые кажутся критическими, поскольку злоумышленники используют реальную информацию с веб-сайтов, чтобы придать им более легитимный вид. В этих письмах содержатся ZIP-файлы с вредоносными LNK-файлами, замаскированными под документы. Когда эти файлы выполняются, начинается следующий этап атаки.
Встроенный код в LNK-файле выполняет команды, вызывающие PowerShell. Сначала он проверяет, запущен ли он из каталогов System32 или Program Files. Если да, то он перемещается в каталог %temp%. Затем он использует простой трюк для чтения самого себя, отыскивая LNK-файлы размером 0x0DD4B11F байт.
Из LNK-файла извлекается несколько полезных файлов, которые сохраняются в каталоге %temp%:
- По смещению 0x111E извлекается 0xAD36 байт и сохраняется как .hwpx, который немедленно выполняется.
- По смещению 0xBE54 извлекается 0xD9190 байт и сохраняется как caption.dat.
- По смещению 0xE4FE4 извлекаются 0x0636 байт и сохраняются как elephant.dat.
- По смещению 0xE561A извлекаются 0x0147 байт и сохраняются как файл sharkeba.bat, который затем выполняется.
Эти файлы извлекаются с помощью скрипта, который автоматизирует процесс извлечения. Наконец, оригинальный LNK-файл удаляется, чтобы замести следы.
Indicators of Compromise
SHA256
- 09a4adef9a7374616851e5e2a7d9539e1b9808e153538af94ad1d6d73a3a1232
- 1c4cd06ebece62c796ea517bf26cc869fa71213d17e30feb0f91c8a4cfa7ef1b
- 2b6928101efa6ededc7da18e7894866710c10794b8cbaf43b48c721e9731c41a
- 5306582c8a24508b594fed478d5abaa5544389c86ba507d8ebf98c5c7edde451
- 6d790df4a2c81e104db10f5e47eb663ca520a456b1305e74f18b2f20758ea4e1
- 7df7ad7b88887a06b559cd453e7b65230d0cccff1a403328a521d8753000c6c9
- 9d96e4816a59475768d461a71cecf20fd99215ce289ecae8c865cf45feeb8802
- cfc814a16547dd4e92607bd42d2722cc567492e88d2830d7d28a0cc20bf3950c