思科Talos團隊在最新的報告中將自2017年起至今發現的六起針對韓國公民的網絡釣魚攻擊活動歸因于一個名為“Group123”的韓國黑客組織,且都利用了遠控工具ROKRAT。
這六起網絡釣魚活動被追蹤為:
2016年11月至2017年1月-"罪惡的新年(Evil New Year)";
2016年8月至2017年3月-"黃金時間(Golden Time)" ;
2017年3月-"你快樂嗎(Are you Happy)?";
2017年5月-"FreeMilk" ;
2017年11月-"朝鮮人權(North Korean Human Rights)";
2018年1月-"罪惡的新年2018(Evil New Year 2018)" 。
思科報告韓國黑客組織“Group123”針對韓國公民發起的6起網絡釣魚活動-E安全
"罪惡的新年”和“罪惡的新年2018”
前者發生在2016年11月,并一直持續到2017年1月。后者則是前者的復制,開始于今年1月2日,主要目的是誘導受害者打開一個由攻擊者使用韓國辦公軟件Hancom Office 創建的惡意HWP文檔。
思科報告韓國黑客組織“Group123”針對韓國公民發起的6起網絡釣魚活動-E安全
電子郵件偽裝成來自韓國統一部,而惡意HWP文檔命名被描述為“2017朝鮮領導人新年演說分析”,文檔正文中還使用了韓國統一部的官方標識。
思科報告韓國黑客組織“Group123”針對韓國公民發起的6起網絡釣魚活動-E安全
事實上HWP文檔包含一個嵌入式EPS對象,攻擊者使用EPS是為了利用已知的漏洞(例如CVE-2013-0808)下載并執行隱藏在偽裝為jpg圖片中的shellcode。在這種情況下,shellcode將從內存中下載并解碼ROKRAT的無文件變種作為最終的有效載荷。
與之前的Group123活動中分發的ROKRAT樣本非常相似,該變種利用Yandex、pCloud、Dropbox和Box等云平臺來掃描文檔并與攻擊者進行交互。
“黃金時間”
發生在2016年8月至2017年3月,與Group123的大部分活動一樣,在這次活動中最初的攻擊媒介是魚叉式網絡釣魚。
在這起活動中,Talos團隊確定了兩種不同類型的電子郵件。第一封電子郵件中的附件被描述為“朝鮮會議_統一考試文件”, 在電子郵件的正文中,攻擊者甚至表示完成文檔的人將得到一筆“小額費用”;第二封電子郵件是關于一個叫“Ewing Kim”的人正在尋求幫助的故事,電子郵件的附件是兩個不同的HWP文檔,均利用相同的漏洞(CVE-2013-0808)。
思科報告韓國黑客組織“Group123”針對韓國公民發起的6起網絡釣魚活動-E安全
思科報告韓國黑客組織“Group123”針對韓國公民發起的6起網絡釣魚活動-E安全
兩封電子郵件的最終目的都是為了下載ROKRAT,這個ROKRAT變種的首要任務是檢查受感染設備操作系統版本。如果檢測到Windows XP,則將執行無限循環,其目的是在運行Windows XP系統設備的沙箱系統上生成空報表。
此外,它還會檢查以確定常用分析工具是否正在受感染的系統上運行。如果檢測到這些工具的存在,惡意軟件會向合法網站執行兩個網絡請求,其中一個請求會打開一個名為“黃金時間”的日本動漫。
思科報告韓國黑客組織“Group123”針對韓國公民發起的6起網絡釣魚活動-E安全
ROKRAT的特征之一是使用社交網絡和云平臺與攻擊者進行交互,這些平臺是用來滲透文件和接收指示的,這包括Twitter、Yandex和Mediafire。
“你快樂嗎?”
這是Talos團隊最后才確認與Group123有關的一起網絡釣魚活動,發生在2017年3月份。
在這個活動中,攻擊者部署了一個名為“ERSP.enc”的ROKRAT模塊。這是一個硬盤擦除器,能夠打開受感染設備的硬盤并將數據寫入主引導記錄(Master Boot Record,MBR)。
惡意軟件在重新引導受感染設備啟動后,MBR顯示一個字符串——“你快樂嗎?(Are you Happy ?)”
“FREEMILK”
發生在2017年5月份的“FreeMilk”活動與其他活動不同,它針對了數家非韓國金融機構(如位于中東的銀行、總部位于歐洲的提供商標和知識產權服務的公司、國際性的體育組織以及與亞洲東部和北部的國家有間接關系的個體)。
另外,在這個活動中,攻擊者一改常態,并沒有使用他們所慣用的HWP文檔,轉而利用惡意的Microsoft Office文檔。且利用了較新披露的漏洞CVE-2017-0199(一個Microsoft Word Office/WordPad遠程代碼執行漏洞),Group123在漏洞公開披露后不到一個月就對其進行了利用。
在這個活動中,攻擊者使用了兩個不同的惡意二進制文件:PoohMilk和Freenki。PoohMilk的存在只是為了下載Freenki,而Freenki用于收集有關受感染系統的信息并下載后續階段的有效載荷。該惡意軟件已于2016年在多個惡意廣告活動中被使用,并與ROKRAT存在有一些代碼重疊。
“朝鮮人權”
2017年11月,Talos團隊觀察到了這起活動,其中包含一個新版ROKRAT。
Group123也重新使用起了他們慣用的HWP文檔,內容描述了一個11月1日在韓國首爾舉行的會議的相關信息。
據內容來看,這個文件是由一個自稱代表“朝鮮人權和統一朝鮮半島公民聯盟”的法定代表人撰寫的。
思科報告韓國黑客組織“Group123”針對韓國公民發起的6起網絡釣魚活動-E安全
這個新版ROKRAT包含反沙盒技術,這是通過檢查以下庫是否加載到受感染設備上來執行的:
SbieDll.dll;
Dbghelp.dll;
Api_log.dll;
Dir_watch.dll。
此版本的ROKRAT還附帶了瀏覽器信息竊取機制,與Group123在2016年使用的Freenki類似,但進行了一些修改。并繼續使用云平臺,這包括:pCloud、 Dropbox、Box 和Yandex。
以下是上述提到的六起活動的相似點與差異:
思科報告韓國黑客組織“Group123”針對韓國公民發起的6起網絡釣魚活動-E安全
Talos團隊表示,事實證明,Group123雖然主要在韓國活動,但這并不表示它只會局限于韓國。對于國際目標而言,他們能夠切換到更為有效的攻擊媒介,例如使用Microsoft Office文檔,而不是固定不變的使用HWP文檔。
但這些活動或多或少都會存在一些共同點,不僅包括ROKRAT,還包括使用HWP文檔、類似的PDB(程序數據庫)模式和偵察代碼,以及在某些有效載荷中存在的瀏覽器信息竊取器。