据报道,一个与朝鲜政府有关的黑客组织正在使用一种名为Goldbackdoor的新恶意软件来大量攻击记者。该攻击包括多个感染阶段,最终目的是窃取目标的敏感信息。研究人员发现,该活动于今年3月开始,目前正在进行中。Stairwell的研究人员跟进了韩国NKNews的初步报道,该报道称一个名为APT37的朝鲜APT组织从一名前韩国情报官员的私人计算机中窃取了信息。据报道,这名演员,也被称为RicochetCollima、InkySquid、Reaper或ScarCruft,试图冒充NKNews并试图分发一种新型恶意软件。NK新闻将这些细节传递给Stairwell以进行进一步调查。这家网络安全公司的研究人员发现了Goldbackdoor恶意软件的细节。根据他们周末发布的一份报告,该恶意软件很可能是由Bluelight恶意软件作者创建的。研究人员写道,Goldbackdoor恶意软件使用了许多与Bluelight恶意软件相同的技术。这些技术的重叠可能是由于开发人员之间共享开发资源。我们有充分的理由可以将Goldbackdoor归因于APT37。去年8月,APT37在针对韩国一家报纸的一系列攻击中使用蓝光作为有效载荷,并在这些攻击中使用了已知的InternetExplorer漏洞。正如Stairwell研究人员指出的那样,记者目前是“敌对政府的首选目标”,也经常成为网络间谍活动的目标。事实上,去年最大的安全事件之一是各国政府利用非政府组织组织的Pegasus间谍软件来攻击记者和其他目标。Stairwell研究人员写道:“记者通常在他们的设备上存储许多重要文件,有时还包含很多敏感信息。”攻击”。多阶段恶意软件研究人员写道,当前的活动始于3月18日,当时NKNews和Stairwell威胁研究团队检查了针对朝鲜记者的网络钓鱼活动中的多个恶意文件。叉式网络钓鱼活动。消息来自韩国国家情报局(NIS)前任局长的个人电子邮件。“其中一个文件是一个新的恶意软件样本,我们将其命名为Goldbackdoor,它是基于嵌入式工件开发的,”他们写道。研究人员表示,Goldbackdoor是一种多阶段感染恶意软件,它将第一阶段工具与最终有效载荷分开,这可能允许威胁行为者在初始目标被感染后停止部署恶意文件。他们在报告中写道,这种设计可能会限制研究人员对有效载荷的分析和研究。该恶意软件与之前的Bluelight一样,使用云服务提供商的基础设施来接收命令和攻击者窃取的数据。研究人员分析的样本使用了MicrosoftOneDrive和GraphAPI,而另一个已识别的SHA256哈希样本使用了GoogleDrive。研究人员表示,攻击者在恶意软件中嵌入了一组API密钥,可用于对微软的云计算平台Azure进行身份验证,并检索和执行相关命令。他们写道,Goldbackdoor为攻击者提供了基本的远程命令执行、文件下载/上传、键盘记录和远程卸载功能,这些都与Bluelight密切相关。然而,Goldbackdoor增加的功能侧重于文件收集和键盘记录。第一阶段Goldbackdoor是一个非常复杂的恶意软件,研究人员将其感染过程分为两个阶段。在第一阶段,受害者必须从受感染的网站下载ZIP文件,URL:https[:]//main[.]dailynk[.]us/regex?id=oTks2&file=KangMin-cholEdits2。压缩。研究人员表示,域名dailynk[.]us很可能被选择用来冒充NKNews(dailynk[.]com),并且APT37在之前的攻击中使用过它。Stairwell研究人员从该站点的DNS历史记录中检索了ZIP文件以进行分析,当他们进行调查时,该站点已停止解析。他们发现,该文件创建于3月17日,其中包含一个282.7MB的Windows快捷方式文件LNK,名称为KangMin-cholEdits,可能指的是朝鲜矿业部长KangMin-chol。“攻击者将快捷方式伪装成文档,使用MicrosoftWord图标,并添加类似于Word文档的注释,”研究人员写道。“他们还通过用0x90字节或NOP/NoOperation填充LNK文件来人为地增加文件的大小,他们说这可能是为了防止文件被上传到检测服务或恶意软件存储库一旦执行,LNK文件就会执行研究人员说,在开始Goldbackdoor的部署过程之前创建并打开一个诱饵文件的PowerShell脚本。”存储在MicrosoftOneDrive上。“Fantasy”有效载荷是恶意软件攻击的第二阶段,也是部署Goldbackdoor软件过程的第一部分,研究人员表示,这两部分都是用单独的代码(shellcode)编写的,其中包含嵌入式有效载荷并使用进程注入技术来部署恶意软件。研究人员表示,Fantasy解析和解码有效负载的过程将se标准进程,如VirtualAllocEx、WriteProcessMemory和RtlCreateUserThread,在先前创建的进程下生成一个线程并执行它。最后的攻击是使用shellcodepayload,线程将在Fantasy创建的进程中运行以执行恶意软件。最后部署。研究人员写道,在此阶段交付的有效载荷实际上是一个Windows可执行文件。本文翻译自:https://threatpost.com/hackers-target-journalists-goldbackdoor/179389/原文地址。
