瑞星捕获疑似朝鲜黑客组织针对韩国发起的APT攻击
发布日期:2023-07-24      作者:       来源:      分享:

瑞星捕获疑似朝鲜黑客组织针对韩国发起的APT攻击

近日,瑞星威胁情报平台捕获到两起针对韩国发起的 APT 攻击事件,通过与以往感染链的对比分析发现,此次事件的攻击者为 APT37 组织。该组织将恶意文件伪装成压缩包,通过邮件发送给受害者,一旦受害者双击打开快捷方式,便会下载 RokRat 远控后门,遭到信息被窃、远程控制等攻击。目前,瑞星 ESM 防病毒终端安全防护系统已可检测并查杀该类恶意程序,广大用户可使用以规避风险。

图:瑞星 ESM 防病毒终端安全防护系统可查杀相应远控后门

瑞星安全专家介绍,APT37 疑似为朝鲜资助的攻击组织,也称为 ScarCruft、Reaper、RedEye、Ricochet Chollima。该组织自 2012 年活跃至今,攻击目标主要是韩国的公共组织和私有企业。2017 年,APT37 组织将攻击目标范围扩大到日本、越南、中东等地的化学、电子、制造业、航空工业、汽车和医疗等行业。

在最近的两次攻击中,APT37 组织分别使用了两份不同的诱饵文档进行攻击,一份以美国与韩国在四月下旬发表的《华盛顿宣言》为背景,由韩国 Jeong Seongjang 撰写的文章;另一份为首尔空军酒店举办会议的活动日历表,内容包括演讲的时间、顺序以及人员 (韩国的重要官员和著名学者)。虽然两份诱饵文档不同,但攻击方式一模一样。

攻击者均利用钓鱼邮件方式,向受害者投递一个含有快捷方式的压缩包,该快捷方式有 50MB 大小,内置了 PowerShell 命令,当受害者双击快捷方式文件时,便会执行该命令,在 Temp 目录下释放诱饵文档与一个名为 230509.bat 的脚本,而该脚本则会从 api.onedrive.com 上下载 RokRat 远控后门加载到主机中,导致受害者中招。

图:攻击流程

瑞星安全专家表示,由于 APT37 组织非常擅长使用社会热点话题对目标进行网络钓鱼攻击,且攻击涉及领域多为影响国计民生的行业,因此政府部门和企业都应引起高度重视,做好以下防范措施:

1. 不打开可疑文件。

不打开未知来源的可疑的文件和邮件,防止社会工程学和钓鱼攻击。

2. 部署网络安全态势感知、预警系统等网关安全产品。

网关安全产品可利用威胁情报追溯威胁行为轨迹,帮助用户进行威胁行为分析、定位威胁源和目的,追溯攻击的手段和路径,从源头解决网络威胁,最大范围内发现被攻击的节点,帮助企业更快响应和处理。

3. 安装有效的杀毒软件,拦截查杀恶意文档和恶意程序。

杀毒软件可拦截恶意文档和恶意程序,如果用户不小心下载了恶意文件,杀毒软件可拦截查杀,阻止病毒运行,保护用户的终端安全。

4. 及时修补系统补丁和重要软件的补丁。

许多恶意软件经常使用已知的系统漏洞、软件漏洞来进行传播,及时安装补丁将有效减小漏洞攻击带来的影响。


友情链接:

返回软协官网首页

通讯地址:北京市海淀区海淀南路甲21号中关村知识产权大厦A座2层206、207室     邮政编码:100080

电话:010-62565314 刘莉    京ICP证16064523号-2    版权所有:北京软件和信息服务业协会

技术支持:中科服    内容支持:鑫网安

你知道你的Internet Explorer是过时了吗?

为了得到我们网站最好的体验效果,我们建议您升级到最新版本的Internet Explorer或选择另一个web浏览器.一个列表最流行的web浏览器在下面可以找到.