APT37 可能至少自 2012 年以来就一直活跃,主要针对韩国的公共和私营部门。2017 年,APT37 将目标范围从朝鲜半岛扩大到日本、越南和中东,并涉足更广泛的垂直行业,包括化工、电子、制造、航空航天、汽车和医疗保健实体。
网站展示:
APT37是一个受朝鲜政府支持的网络间谍组织,至少自 2012 年以来一直活跃。该组织主要针对韩国的受害者,但也攻击日本、越南、俄罗斯、尼泊尔、中国、印度、罗马尼亚、科威特和中东其他地区。APT37还与 2016 年至 2018 年期间的以下攻击活动有关:黎明行动 (Operation Daybreak)、幽冥行动 (Operation Erebus)、黄金时间 (Golden Time)、邪恶新年 (Evil New Year)、你快乐吗? (Are you Happy?)、免费牛奶 (FreeMilk)、朝鲜人权 (North Korean Human Rights) 和邪恶新年 2018 (Evil New Year 2018)。[1] [2] [3]
据悉,朝鲜的团体定义存在很大重叠,一些安全研究人员将所有朝鲜政府支持的网络活动都归入Lazarus Group 的名下进行报告,而不是追踪集群或子团体。
使用的技术
| 领域 | ID | 姓名 | 使用 | |
|---|---|---|---|---|
| 企业 | T1548 | .002 | 滥用提升控制机制:绕过用户帐户控制 | APT37在初始植入器中有一个功能可以绕过 Windows UAC,以便以更高的权限执行下一个有效载荷。[5] |
| 企业 | T1071 | .001 | 应用层协议:Web协议 | APT37使用 HTTPS 来隐藏 C2 通信。[3] |
| 企业 | T1123 | 音频捕捉 | APT37使用了一种名为 SOUNDWAVE 的音频捕获实用程序来捕获麦克风输入。[1] | |
| 企业 | T1547 | .001 | 启动或登录自动启动执行:注册表运行键/启动文件夹 | APT37通过注册表项添加了持久性HKCU\Software\Microsoft\CurrentVersion\Run\。[1] [3] |
| 企业 | T1059 | 命令和脚本解释器 | APT37使用 Ruby 脚本来执行有效载荷。[7] | |
| .003 | Windows 命令 Shell | APT37使用了命令行界面。[1] [3] | ||
| .005 | Visual Basic | APT37执行 shellcode 和 VBA 脚本来解码 Base64 字符串。[3] | ||
| .006 | Python | APT37使用 Python 脚本来执行有效载荷。[7] | ||
| 企业 | T1555 | .003 | 密码存储中的凭据:来自 Web 浏览器的凭据 | APT37使用了一种名为 ZUMKONG 的凭证窃取程序,该程序可以获取存储在浏览器中的用户名和密码。[1] |
| 企业 | T1005 | 来自本地系统的数据 | APT37从受害者的本地系统收集了数据。[1] | |
| 企业 | T1561 | .002 | 磁盘擦除:磁盘结构擦除 | APT37可以访问能够覆盖机器主引导记录(MBR)的破坏性恶意软件。[1] [3] |
| 企业 | T1189 | 驱动式入侵 | APT37曾利用战略性网络入侵(尤其是针对韩国网站)来传播恶意软件。该组织还利用种子文件共享网站,更肆意地向受害者传播恶意软件。作为入侵手段的一部分,该组织使用一款名为 RICECURRY 的基于 JavaScript 的分析器来分析受害者的网络浏览器,并据此投放恶意代码。[2] [1] [4] | |
| 企业 | T1203 | 客户端执行漏洞利用 | APT37利用 Flash Player(CVE-2016-4117、CVE-2018-4878)、Word(CVE-2017-0199)、Internet Explorer(CVE-2020-1380 和 CVE-2020-26411)以及 Microsoft Edge(CVE-2021-26411)的漏洞执行攻击。[2] [1] [3] [4] | |
| 企业 | T1105 | Ingress 工具转移 | APT37已从受感染的网站下载了第二阶段恶意软件。[1] [5] [4] [7] | |
| 企业 | T1559 | .002 | 进程间通信:动态数据交换 | APT37使用 Windows DDE 执行命令和恶意 VBS。[2] |
| 企业 | T1036 | .001 | 伪装:无效代码签名 | APT37使用无效的数字证书签署了其恶意软件,证书上列有“腾讯科技(深圳)有限公司”的姓名。[2] |
| 企业 | T1106 | 原生 API | APT37利用 Windows API 调用:VirtualAlloc()、WriteProcessMemory() 和 CreateRemoteThread() 进行进程注入。[3] | |
| 企业 | T1027 | 混淆的文件或信息 | APT37混淆了字符串和有效载荷。[3] [5] [7] | |
| .003 | 隐写术 | APT37使用隐写术向用户发送嵌入了 shellcode 的图像。[3] [5] | ||
| 企业 | T1120 | 外围设备发现 | APT37有一个蓝牙设备收集器,它使用 Windows 蓝牙 API 来查找已连接的蓝牙设备的信息。[5] | |
| 企业 | T1566 | .001 | 网络钓鱼:鱼叉式网络钓鱼附件 | APT37使用带有恶意 HWP 附件的鱼叉式网络钓鱼电子邮件传播恶意软件。[1] [3] [5] |
| 企业 | T1057 | 流程发现 | APT37的 Freenki 恶意软件使用 Microsoft Windows API 列出正在运行的进程。[3] | |
| 企业 | T1055 | 进程注入 | APT37将其恶意软件变种ROKRAT注入 cmd.exe 进程。[3] | |
| 企业 | T1053 | .005 | 计划任务/作业:计划任务 | APT37创建了计划任务,以在受感染的主机上运行恶意脚本。[7] |
| 企业 | T1082 | 系统信息发现 | APT37收集计算机名称、BIOS 型号和执行路径。[3] | |
| 企业 | T1033 | 系统所有者/用户发现 | APT37识别了受害者的用户名。[3] | |
| 企业 | T1529 | 系统关机/重启 | APT37shutdown /r /t 1使用的恶意软件会在擦除 MBR 后发出重新启动系统的命令。 [3] |
|
| 企业 | T1204 | .002 | 用户执行:恶意文件 | APT37曾发送鱼叉式网络钓鱼附件,试图诱使用户打开它们。[1] |
| 企业 | T1102 | .002 | Web 服务:双向通信 | APT37利用社交网站和云平台(AOL、Twitter、Yandex、Mediafire、pCloud、Dropbox 和 Box)作为 C2。[1] [3] |
软件
ID
|
姓名
|
参考
|
技术
|
|---|---|---|---|
S0657
|
蓝光
|
[4]
|
应用层协议:Web 协议、 存档收集的数据:通过自定义方法存档、 存档收集的数据、 来自密码存储的凭据:来自 Web 浏览器的凭据、 通过 C2 通道泄露、 文件和目录发现、 指示器删除:文件删除、 入口工具传输、 混淆文件或信息:加密/编码文件、 进程发现、 屏幕截图、 软件发现:安全软件发现、 窃取 Web 会话 Cookie、 系统信息发现、 系统网络配置发现、 系统所有者/用户发现、 系统时间发现、 虚拟化/沙盒规避:系统检查、 Web 服务:双向通信
|
S0154
|
钴打击
|
[4]
|
滥用提升控制机制:Sudo 和 Sudo 缓存、 滥用提升控制机制:绕过用户帐户控制、 访问令牌操作:父 PID 欺骗、 访问令牌操作:令牌模拟/盗窃、 访问令牌操作:制作和模拟令牌、 帐户发现:域帐户、 应用层协议:DNS、 应用层协议:Web 协议、 应用层协议:文件传输协议、 BITS 作业、 浏览器会话劫持、 命令和脚本解释器:JavaScript、 命令和脚本解释器:Visual Basic、 命令和脚本解释器:PowerShell、 命令和脚本解释器:Python、 命令和脚本解释器:Windows 命令 Shell、 创建或修改系统进程:Windows 服务、 数据编码:标准编码、 来自本地系统的数据、 数据混淆:协议或服务模拟、 数据传输大小限制、 反混淆/解码文件或信息、 加密通道:非对称加密、 加密通道:对称加密、 客户端执行利用、 权限提升利用、 文件和目录发现、 隐藏工件:进程参数欺骗、 削弱防御:禁用或修改工具、 指标删除:Timestomp、 入口工具传输、 输入捕获:键盘记录、 修改注册表、 本机 API、 网络服务发现、 网络共享发现、 非应用层协议、 混淆的文件或信息:从工具中删除指标、 混淆的文件或信息、 Office 应用程序启动:Office 模板宏、 操作系统凭据转储:LSASS 内存、 操作系统凭据转储:安全帐户管理器、 权限组发现:域组、 权限组发现:本地组、 进程发现、 进程注入:动态链接库注入、 进程注入:进程挖空、 进程注入、 协议隧道、 代理:域前端、 代理:内部代理、 查询注册表、 反射代码加载、 远程服务:远程桌面协议、 远程服务:SSH、 远程服务:Windows 远程管理、 远程服务:SMB/Windows 管理共享、 远程服务:分布式组件对象模型、 远程系统发现、 计划传输、 屏幕捕获、 软件发现、 颠覆信任控制:代码签名、 系统二进制代理执行:Rundll32、 系统网络配置发现、 系统网络连接发现、 系统服务发现、 系统服务:服务执行、 使用备用身份验证材料:传递哈希、 有效帐户:域帐户、 有效帐户:本地帐户、 Windows 管理规范
|
S0212
|
珊瑚甲板
|
[1]
|
存档收集的数据:通过实用程序存档、 通过替代协议进行渗透:通过未加密的非 C2 协议进行渗透、 文件和目录发现
|
S0213
|
狗叫声
|
[1] [8]
|
音频捕获、 入口工具传输、 输入捕获:键盘记录、 混淆文件或信息:加密/编码文件、 屏幕捕获、 Web 服务:双向通信
|
S0355
|
Final1stspy
|
[8]
|
应用层协议:Web 协议、 启动或登录自动启动执行:注册表运行项/启动文件夹、 反混淆/解码文件或信息、 混淆文件或信息、 进程发现、 系统信息发现
|
S0214
|
快乐工作
|
[1]
|
入口工具传输、 系统信息发现、 系统所有者/用户发现
|
S0215
|
卡雷
|
[1]
|
驱动式入侵、 入口工具传输、 系统信息发现、 Web 服务:双向通信
|
S0247
|
海军无线电
|
[9]
|
应用层协议:邮件协议、 启动或登录自动启动执行:注册表运行项/启动文件夹、 命令和脚本解释器:Windows 命令 Shell、 数据暂存:本地数据暂存、 入口工具传输、 输入捕获:键盘记录、 进程发现、 进程注入、 系统信息发现
|
S0216
|
普拉姆
|
[1]
|
驱动式入侵、 文件和目录发现、 进程发现、 屏幕捕获、 系统信息发现、 Web 服务:双向通信
|
S0240
|
洛克拉特
|
[3] [5]
|
应用层协议:Web 协议、 应用程序窗口发现、 音频捕获、 剪贴板数据、 命令和脚本解释器:Visual Basic、 来自密码存储的凭据:来自 Web 浏览器的凭据、 来自密码存储的凭据:Windows 凭据管理器、 来自本地系统的数据、 调试器规避、 反混淆/解码文件或信息、 执行护栏:环境键控、 通过 C2 通道渗透、 通过 Web 服务渗透:渗透到云存储、 文件和目录发现、 指示器删除:文件删除、 入口工具传输、 输入捕获:键盘记录、 修改注册表、 本机 API、 混淆的文件或信息、 网络钓鱼:鱼叉式网络钓鱼附件、 进程发现、 进程注入、 查询注册表、 屏幕捕获、 系统信息发现、 系统所有者/用户发现、 用户执行:恶意文件、 虚拟化/沙盒规避:系统检查、 Web 服务:双向通信
|
S0217
|
快门速度
|
[1]
|
入口工具传输、 屏幕捕获、 系统信息发现
|
S0218
|
缓慢漂移
|
[1]
|
入口工具传输、 系统信息发现、 Web 服务:双向通信
|
S0219
|
酒架
|
[1]
|
应用程序窗口发现、 命令和脚本解释器、 文件和目录发现、 进程发现、 系统信息发现、 系统所有者/用户发现、 系统服务发现
|
数据统计
相关导航
看雪论坛 是中国网络安全领域的重要技术社区之一,主要聚焦于信息安全、漏洞分析、逆向工程、渗透测试以及恶意软件分析等多个方面。这个论坛汇集了大量的网络安全专家、研究员、渗透测试人员以及破解爱好者,是一个技术交流、学习和资源分享的理想平台。看雪论坛以其高质量的技术讨论和深入的研究内容在网络安全界有着重要的影响力。看雪论坛 是中国网络安全领域的重要技术社区之一,主要聚焦于信息安全、漏洞分析、逆向工程、渗透测试以及恶意软件分析等多个方面。这个论坛汇集了大量的网络安全专家、研究员、渗透测试人员以及破解爱好者,是一个技术交流、学习和资源分享的理想平台。看雪论坛以其高质量的技术讨论和深入的研究内容在网络安全界有着重要的影响力。 看雪论坛的特点与功能: 1. 逆向工程与漏洞分析: 看雪论坛的核心内容之一是逆向工程和漏洞分析,论坛中有大量关于程序逆向、恶意软件分析、二进制漏洞分析等技术的讨论。成员们分享逆向工程的技巧,帮助彼此理解如何破解软件、分析病毒、发现漏洞并开发相应的利用代码。 2. 信息安全与渗透测试: 看雪论坛是一个渗透测试爱好者的集聚地,许多安全专家和渗透测试人员在此分享自己的渗透测试经验、测试工具以及攻击技巧。用户可以在这里学习如何识别和利用系统漏洞,提升自己在实际渗透测试中的能力。 3. 破解与加密技术: 看雪论坛也涵盖了破解技术,会员分享破解软件、破解保护机制、密码破解等相关技术。社区内的讨论不仅限于破解过程,还涉及到加密算法的分析与破解方法,适合有一定经验的安全研究人员。 4. 恶意软件分析与安全防护: 看雪论坛提供了对恶意软件、病毒和木马分析的专门讨论区域。成员们分享如何通过逆向分析、沙箱测试、反病毒技术等手段来分析和防御各种恶意软件,帮助社区成员提升对恶意攻击的防御能力。 5. 安全工具和资源分享: 论坛内有专门的板块供用户分享安全工具、破解工具、测试脚本、技术文档等资源。许多渗透测试工具、漏洞扫描器、恶意软件分析工具等都会在论坛中发布,供社区成员下载和使用。 6. 技术教程与实战案例: 看雪论坛为初学者和中级用户提供了大量的技术教程和实战案例,涵盖网络安全、逆向工程、渗透测试等各个方面。通过阅读这些教程,用户可以从基础到高级的逐步掌握网络安全领域的知识和技巧。 7. 社区氛围与互动: 看雪论坛注重技术的深度交流和学习,论坛内的用户群体活跃且技术性强,很多专业的安全研究人员、白帽子黑客、逆向工程师等都活跃在论坛上。用户可以通过发帖提问、分享经验或参与讨论来提升自己的技术水平。 访问网址: 看雪论坛的官方网址为:https://www.kanxue.com 总结: 看雪论坛 是中国网络安全领域的一个技术性强、内容丰富的社区,专注于逆向工程、漏洞分析、渗透测试、恶意软件分析等网络安全话题。无论是刚入门的新手,还是经验丰富的专家,论坛都为其提供了丰富的学习资源、技术支持和实践机会。通过深入的技术交流和经验分享,看雪论坛帮助会员不断提高在网络安全领域的技术能力。
