Исследователи Genians проанализировали серию атак, приписываемых APT37 (также известной как Pearl Sleet), северокорейскому государственному Злоумышленнику, направленных на южнокорейские организации, занимающиеся правами человека в Северной Корее, перебежчиков, журналистов и экспертов по объединению и национальной безопасности.
Pearl Sleet (APT37) APT
Злоумышленники использовали фишинговые электронные письма, которые, как казалось, поступали от доверенных источников и содержали вредоносные файлы ярлыков (LNK), предназначенные для выполнения команд PowerShell и развертывания вредоносной программы RoKRAT. Эта вредоносная программа позволяет злоумышленникам собирать обширную системную информацию, включая IP-адреса, данные браузера и конкретные типы документов, а также собирать расширения файлов, записываемых смартфоном. Среди недавних атак - электронные письма с легитимными документами под заголовками «Тенденции Северной Кореи в апреле» и «Материалы для лекций по северокорейскому кибертерроризму».
Полезная нагрузка вредоносного ПО поступает вместе с документами-обманками, спрятанными в зашифрованных файлах с именами «panic.dat» или «viewer.dat». Исследователи также выявили закономерности в IP-адресах и доменах злоумышленников, связав их между собой в рамках разных кампаний. APT37 использовали облачные сервисы, такие как учетные записи Google Gmail. Кроме того, они использовали веб-маяки, встроенные в электронные письма, чтобы собирать информацию без использования прямых вложений или ссылок.
Indicators of Compromise
IPv4
- 108.181.50.58
- 141.164.60.110
- 141.164.62.19
- 158.247.219.10
- 158.247.249.129
- 175.214.194.61
- 223.104.236.114
- 61.97.243.2
Domains
- filedownloadserve.com
- kakaofilestorage.com
- navarar.com
MD5
- 105ecd9f6585df4e1fe267c2809ee190
- 358122718ba11b3e8bb56340dbe94f51
- 5f6682ad9da4590cba106e2f1a8cbe26
- 7a66738cca9f86f4133415eedcbf8e88
- 852544f01172b8bae14ec3e4d0b35115
- acf4085b2fa977fc1350f0ddc2710502
- b85a6b1eb7418aa5da108bc0df824fc0
- e4ddd5cc8b5f4d791f27d676d809f668