思科:基於六起網絡釣魚活動深入分析韓國黑客組織「Group123」

思科Talos團隊在最新的報告中將自2017年起至今發現的六起針對韓國公民的網絡釣魚攻擊活動歸因於一個名為「Group123」的韓國黑客組織，且都利用了遠控工具ROKRAT。

這六起網絡釣魚活動被追蹤為：

2016年11月至2017年1月-"罪惡的新年（Evil New Year）"；2016年8月至2017年3月-"黃金時間（Golden Time）" ；2017年3月-"你快樂嗎（Are you Happy）?"；2017年5月-"FreeMilk" ；2017年11月-"朝鮮人權（North Korean Human Rights）"；2018年1月-"罪惡的新年2018（Evil New Year 2018）" 。

"罪惡的新年」和「罪惡的新年2018」

前者發生在2016年11月，並一直持續到2017年1月。後者則是前者的複製，開始於今年1月2日，主要目的是誘導受害者打開一個由攻擊者使用韓國辦公軟體Hancom Office 創建的惡意HWP文檔。

電子郵件偽裝成來自韓國統一部，而惡意HWP文檔命名被描述為「2017朝鮮領導人新年演說分析」，文檔正文中還使用了韓國統一部的官方標識。

事實上HWP文檔包含一個嵌入式EPS對象，攻擊者使用EPS是為了利用已知的漏洞（例如CVE-2013-0808）下載並執行隱藏在偽裝為jpg圖片中的shellcode。在這種情況下，shellcode將從內存中下載並解碼ROKRAT的無文件變種作為最終的有效載荷。

與之前的Group123活動中分發的ROKRAT樣本非常相似，該變種利用Yandex、pCloud、Dropbox和Box等雲平臺來掃描文檔並與攻擊者進行交互。

「黃金時間」

發生在2016年8月至2017年3月，與Group123的大部分活動一樣，在這次活動中最初的攻擊媒介是魚叉式網絡釣魚。

在這起活動中，Talos團隊確定了兩種不同類型的電子郵件。第一封電子郵件中的附件被描述為「朝鮮會議_統一考試文件」， 在電子郵件的正文中，攻擊者甚至表示完成文檔的人將得到一筆「小額費用」；第二封電子郵件是關於一個叫「Ewing Kim」的人正在尋求幫助的故事，電子郵件的附件是兩個不同的HWP文檔，均利用相同的漏洞（CVE-2013-0808）。

兩封電子郵件的最終目的都是為了下載ROKRAT，這個ROKRAT變種的首要任務是檢查受感染設備作業系統版本。如果檢測到Windows XP，則將執行無限循環，其目的是在運行Windows XP系統設備的沙箱系統上生成空報表。

此外，它還會檢查以確定常用分析工具是否正在受感染的系統上運行。如果檢測到這些工具的存在，惡意軟體會向合法網站執行兩個網絡請求，其中一個請求會打開一個名為「黃金時間」的日本動漫。

ROKRAT的特徵之一是使用社交網絡和雲平臺與攻擊者進行交互，這些平臺是用來滲透文件和接收指示的，這包括Twitter、Yandex和Mediafire。

「你快樂嗎？」

這是Talos團隊最後才確認與Group123有關的一起網絡釣魚活動，發生在2017年3月份。

在這個活動中，攻擊者部署了一個名為「ERSP.enc」的ROKRAT模塊。這是一個硬碟擦除器，能夠打開受感染設備的硬碟並將數據寫入主引導記錄（Master Boot Record，MBR）。

惡意軟體在重新引導受感染設備啟動後，MBR顯示一個字符串——「你快樂嗎？（Are you Happy ？）」

「FREEMILK」

發生在2017年5月份的「FreeMilk」活動與其他活動不同，它針對了數家非韓國金融機構（如位於中東的銀行、總部位於歐洲的提供商標和智慧財產權服務的公司、國際性的體育組織以及與亞洲東部和北部的國家有間接關係的個體）。

另外，在這個活動中，攻擊者一改常態，並沒有使用他們所慣用的HWP文檔，轉而利用惡意的Microsoft Office文檔。且利用了較新披露的漏洞CVE-2017-0199（一個Microsoft Word Office/WordPad遠程代碼執行漏洞），Group123在漏洞公開披露後不到一個月就對其進行了利用。

在這個活動中，攻擊者使用了兩個不同的惡意二進位文件：PoohMilk和Freenki。PoohMilk的存在只是為了下載Freenki，而Freenki用於收集有關受感染系統的信息並下載後續階段的有效載荷。該惡意軟體已於2016年在多個惡意廣告活動中被使用，並與ROKRAT存在有一些代碼重疊。

「朝鮮人權」

2017年11月，Talos團隊觀察到了這起活動，其中包含一個新版ROKRAT。

Group123也重新使用起了他們慣用的HWP文檔，內容描述了一個11月1日在韓國首爾舉行的會議的相關信息。

據內容來看，這個文件是由一個自稱代表「朝鮮人權和統一朝鮮半島公民聯盟」的法定代表人撰寫的。

這個新版ROKRAT包含反沙盒技術，這是通過檢查以下庫是否加載到受感染設備上來執行的：

SbieDll.dll；Dbghelp.dll；Api_log.dll；Dir_watch.dll。

此版本的ROKRAT還附帶了瀏覽器信息竊取機制，與Group123在2016年使用的Freenki類似，但進行了一些修改。並繼續使用雲平臺，這包括：pCloud、 Dropbox、Box 和Yandex。

以下是上述提到的六起活動的相似點與差異：

Talos團隊表示，事實證明，Group123雖然主要在韓國活動，但這並不表示它只會局限於韓國。對於國際目標而言，他們能夠切換到更為有效的攻擊媒介，例如使用Microsoft Office文檔，而不是固定不變的使用HWP文檔。

但這些活動或多或少都會存在一些共同點，不僅包括ROKRAT，還包括使用HWP文檔、類似的PDB（程序資料庫）模式和偵察代碼，以及在某些有效載荷中存在的瀏覽器信息竊取器。

本文由 黑客視界 綜合網絡整理，圖片源自網絡；轉載請註明「轉自黑客視界」，並附上連結。