首页 > 安全 > 正文

朝鲜与APT37与Goldbackdoor的新闻工作者有关

最后更新 :2022.04.26

与朝鲜联系的APT37小组针对新闻记者,这些记者专注于DPRK,并使用新的恶意软件。

朝鲜链接的APT37组(又名Ricochet Chollima)被发现针对目标的记者,专注于DPRK新的恶意软件。

该运动是由NK News的记者发现的,NK News是一个专注于朝鲜的美国新闻网站。

NK News在恶意软件研究人员AT  Stairwell 的帮助下调查了攻击,他们发现了他们跟踪的新恶意软件菌株。

2022年3月18日来自士兵钓鱼运动的楼梯间威胁研究团队的工件针对专门研究朝鲜的记者。这些消息是从韩国国家情报局(NIS)前董事的个人电子邮件中发送的。阅读楼梯间发布的分析。这些文物之一是新的恶意软件我们已经根据嵌入式开发文物命名了Goldbackdoor。

根据专家的说法,Stairwell是APT37使用的Bluelight Backdoor的继任者或同时使用的。

Goldbackdoor后门被部署为避免检测的多阶段过程的最后阶段。
APT37 GOLDbackdoor

发送给记者的网络钓鱼消息包含一个链接对于包含LNK文件的Zip档案,两个名为Kang Min-Chol的编辑(Kang Min-Chol是朝鲜矿业工业部长)。

档案馆被托管在Dominnk [。(每日[。] com),以前从事APT37S广告系列。

在初步分析时,域邮件[。] dailynk [。]美国已经停止解决;但是,从历史性的DNS决议中,我们能够将142.93.201 [。] 77识别为最后一个地址,该域已解决,并能够检索ZIP文件。阅读已发布的分析由Stairwell。

打开LNK文件后,执行了PowerShell脚本,在开始Goldbackdoor的部署过程之前,它写下并打开了诱饵文档。

诱饵文档嵌入了对一个引用,托管在云应用程序平台Heroku上的外部图像,攻击者在查看文件时使用此技巧要警报。

部署诱饵文档后,PowerShell脚本将第二个PowerShell脚本解码,在$中编码为$寺庙变量,它使用Invoke-Command执行。继续分析。执行后,第二个PowerShell脚本将下载并执行存储在Microsoft OneDrive上的ShellCode有效载荷(使用第一字节作为键编码)。分析过程中手动下载时,此有效载荷被命名为Fantasy。

幻想是Goldbackdoor的两部分部署过程中的第一个。

最终有效负载是Windows Portable可执行执行(PE)申请Goldbackdoor

GoldbackDoor被执行为PE文件(可携带可执行文件),其中包括一组API键,用于对Azure和检索命令进行身份验证。

Goldbackdoor可以执行操作员发送的命令,下载/上传文件并支持键盘式功能。它还具有像Bluelight这样的远程卸载的能力。
基于提出的分析,Goldbackdoor恶意软件与Bluelight恶意软件有着强大的技术重叠。这些重叠,以及可疑的共享发展资源和NK新闻的模仿,支持我们将Goldbackdoor归因于APT37。总结了报告。
 请投票给安全事务,作为最佳欧洲网络安全博客奖2022投票给您的获奖者在“弱者最佳个人(非商业)安全博客”中为我投票。以及Tech Whiz最佳技术博客和您选择的其他人。

要提名,请访问: https://docs.google.com/forms/d/e/1faipqlsfxxrximz9qm9iipumqic-iomqic-iom-npqmosfznjxrbqryjgcow/viewform  

- END -

看更多