4月6日訊 思科Talos安全威脅智能小組的研究人員認為，韓國用戶再次遭到新型惡意RAT(遠程管理工具)攻擊，他們將該RAT稱為“ROKRAT”。

早在今年2月，思科Talos安全研究人員報告了一起攻擊事件，自2016年11月至2017年1月，攻擊分子利用韓國辦公軟件Hangul中的漏洞和來自韓國統一部(Korean Ministry of Unification)的欺騙性文件實施攻擊。

鑒于這起間諜事件發生在二月朝鮮進行有爭議的彈道導彈試驗之前，也許是在美韓聯合軍演前不久。且攻擊者使用一個被感染的韓國政府法律服務網站kgls.or.kr將第二有效荷載下載到被感染的設備上，以此散布惡意軟件，因此推測這起網絡攻擊很可能是政府支持型攻擊者所為，以此攻擊韓國本土辦公軟件Hangul(??，中文名：文杰)的用戶。

Hangul是韓國應用最廣泛的一款軟件，對韓國用戶而言，Hangul就是Microsoft Office的替代辦公軟件，在日常生活中的使用率要遠遠超過韓文版的Office。韓國人處理文檔時大多用Hangul生成的HWP格式，學用韓語、與韓國人打交道、看韓國人的文檔，這款軟件是必備!

考慮到這些因素，這起攻擊可能由資金雄厚的組織發起，企圖獲得韓國最具價值的資產。

外媒曾報道韓國系統經常遭到朝鮮攻擊，美國國安局為此也曾訪問過韓國系統，意在監視朝鮮。朝鮮曾多次被指責對韓國發起黑客攻擊和惡意軟件攻擊，最臭名昭著的要數2013年針對銀行和廣播機構發起的Dark Seoul攻擊。美國情報機構也曾指責朝鮮2014年入侵索尼影業。因此，朝鮮有很大的嫌疑。

1491370422895042542.jpg

本周一報告的新攻擊事件中黑客再次在網絡釣魚電子郵件中使用搭載有效載荷(能將軟件病毒傳送到用戶的電腦上)的Hangul文件，這次的罪魁禍首是ROKRAT。

這款RAT使用Twitter、Yandex和Mediafire等合法工具執行命令、控制以及進行數據滲漏，再加上使用HTTPS加密傳輸協議，防火墻很難發現他們，因此難以全局阻止。

如果這款RAT發現自己已安裝在Windows XP上，便會自己陷入無限睡眠;一旦ROKRAT開始執行，它便會檢查受害者的進程列表，以查看受害者是否在運行Wireshark等反病毒或分析工具。

Talos指出，如果其中任何進程在執行期間被運行系統發現，這款惡意軟件便會跳轉到一個虛假功能生成虛假的HTTP流量。此外，如果這款惡意軟件被調試，或未從HWP文件執行(即雙擊二進制文件)，或OpenProcess()函數在主進程中取得成功，這個虛假功能也會被調用。

如果在沙盒中執行，ROKRAT試圖通過向Amazon和Hulu發送大量請求的方式來隱藏身份。

除了Twitter/Yandex/Mediafire的C2(命令與控制)連接，這款RAT還包含一個截圖上傳器和鍵盤記錄器。

ROKRAT感染技術的重點在于：使用老舊的Encapsulated PostScript漏洞 “CVE-2013-0808”。該惡意文件包含偽裝成Hangul文檔的shellcode(就是在利用溢出攻擊溢出時要值入的代碼,也就是溢出后去執行的代碼)。