摘要：安全研究人员发现了一次复杂的攻击活动，该活动由曹县黑客组织 APT37 发起，该组织也被称为 ScarCruft、Reaper 和 Red Eyes。

安全研究人员发现了一次复杂的攻击活动，该活动由曹县黑客组织 APT37 发起，该组织也被称为 ScarCruft、Reaper 和 Red Eyes。

该组织自 2012 年以来一直活跃，其目标已从韩国扩大到日本、越南、中东以及医疗保健和制造业等行业。最新攻击利用包含隐藏的恶意 LNK 文件的 ZIP 文件附件，通过多阶段过程部署 RokRat 远程访问木马。

ZW01f 的安全分析师 Mohamed Ezat指出，攻击始于包含 ZIP 附件的网络钓鱼电子邮件，这些附件隐藏了伪装成与曹县事务或贸易协议相关文件的恶意 LNK 文件。

这些电子邮件经过精心设计，看上去似乎是合法的，通常包含来自网站的真实信息以增强可信度。

当受害者打开看似文档的内容时，他们会在不知不觉中触发复杂感染链的第一阶段。

执行后，LNK 文件会启动一个序列，提取多个有效负载并将其保存到受害者的临时目录中。

感染流程展示了初始 LNK 文件如何充当后续阶段的加载器。此技术可帮助攻击者逃避仅关注初始文件的安全解决方案的检测。

LNK 文件包含嵌入代码，可执行 PowerShell 命令来提取多个组件：诱饵 HWPX 文档（韩文文档格式）、可执行数据文件和批处理脚本。

PowerShell命令通过搜索具有特定大小的文件来查找 LNK 文件本身，然后从文件结构内的预定偏移量中提取数据。

第一阶段从 LNK 文件执行 PowerShell 代码开始，该代码会提取特定字节偏移处的多个文件。例如，在偏移量 0x111E 处，它会提取 0xAD36 字节并将其保存为 HWPX 文件，该文件用作诱饵文档。

提取的文件包括caption.dat、elephant.dat、shark.bat，其中shark.bat会立即执行。

LNK 命令行调用 PowerShell 来执行这些操作。shark.bat 文件在隐藏窗口中启动 PowerShell，从临时目录中读取 elephant.dat。

然后，此 PowerShell 脚本使用单字节 XOR 密钥“d”解密 caption.dat。解密的内容使用 Windows API 函数（如 VirtualProtect 和 CreateThread）直接加载到内存中，避免将最终的有效负载写入磁盘。

这种无文件攻击的方法大大降低了被传统防病毒解决方案检测到的机会。

最后一个有效载荷 RokRat 是一个复杂的远程访问木马，它收集详细的系统信息，包括操作系统版本、硬件详细信息、正在运行的进程和屏幕截图。

它使用 pCloud、Yandex 和Dropbox等云服务作为命令和控制渠道，通过欺骗合法的 Googlebot 用户代理字符串来隐藏其通信。

尽管该恶意软件功能强大，但检测率却很低。

RokRat包含检测虚拟机和调试环境的反分析功能，使其能够逃避安全研究人员的检测。

还包括多个命令功能，使攻击者能够执行远程命令、扫描驱动器、收集文件和下载额外的有效载荷，使其成为间谍和数据盗窃操作的多功能工具。

技术报告：

https://zw01f.github.io/malware analysis/apt37/

新闻链接：

来源：会杀毒的单反狗