当地时间4月25日,美国新闻网站NKNews称,发现朝鲜支持的APT37正在使用新型恶意软件样本攻击记者在朝鲜。APT37,也称为RicochetChollima,据信得到了朝鲜政府的支持,并将新闻业视为一种敌对行动,试图利用此次攻击获取机密信息并确定记者的消息来源。NKNews是一家美国新闻网站,致力于报道朝鲜新闻,并利用朝鲜国内情报系统提供有关朝鲜的研究和分析。发现攻击后,NKNews联系了恶意软件专家Stairwell进行技术分析。Stairwell发现了一种名为“Goldbackdoor”的新恶意软件样本,该样本正在通过网络钓鱼攻击进行传播,并被评估为“Bluelight”的继任者。值得注意的是,这并不是APT37第一次使用恶意软件攻击记者。最近一次发生在2021年11月,当时它使用高度定制的“Chinotto”后门攻击记者。攻击部署复杂多样这些钓鱼邮件来自APT37此前黑入过的韩国国家情报院(NIS)前局长的账户。在这个针对性很强的活动中,攻击者的部署更加多样化,采用了两阶段感染过程,这使得分析人员很难对有效负载进行采样。在两阶段感染过程中发送给记者的电子邮件包含一个下载ZIP附件的链接。文件名为“姜敏哲编者(音译)”(姜敏哲为朝鲜矿业部长),里面有一个LNK文件(快捷方式文件)。LNK文件伪装成文档图标,并通过填充扩展到282.7MB,轻松绕过杀毒软件VirusTotal等在线检测工具。执行后,PowerShell脚本启动并打开一个诱饵文档(doc)作为干扰,同时第二个脚本在后台解码。攻击中使用的第一个PowerShell脚本是诱饵文档,其中包含托管在Heroku平台上的嵌入式外部图像,一旦文档被打开,它就会提醒攻击者。文档中的嵌入式跟踪器链接到第二个脚本,该脚本下载并执行存储在MicrosoftOneDrive上的shellcode负载,由于OneDrive服务的合法性,它不太可能触发防病毒警报。Stairwell说,这个被称为“Fantasy”的有效负载是Goldbackdoor的两个部署机制中的第一个,它依赖于隐蔽的进程注入。恶意软件GoldbackdoorGoldbackdoor作为一个PE文件(可执行文件)执行,可以远程接受基本命令并窃取数据。它带有一组API密钥,用于对Azure进行身份验证和检索已执行的命令。这些命令与键盘记录、文件操作、基本RCE和卸载自身的能力有关。该恶意软件利用合法的云服务来窃取文件,Stairwell已经注意到GoogleDrive和MicrosoftOneDrive被滥用。Goldbackdoor的目标文件主要是PDF、DOCX、MP3、TXT、M4A、JPC、XLS、PPT、BIN、3GP、MSG等文档和流媒体。虽然这是一次针对性很强的活动,但Stairwell技术报告中提到的发现、曝光以及由此产生的检测规则和文件哈希值对信息安全社区仍然具有重要意义。参考链接:https://www.bleepingcomputer.com/news/security/north-korean-hackers-targeting-journalists-with-novel-malware/
