一场正在进行的网络攻击活动将目光投向了韩国人，利用美国军方主题的文件诱饵诱骗他们在受损系统上运行恶意软件。网络安全公司Securix正在以STARK#MULE的名义追踪这一活动。目前尚不清楚袭击的规模，也不清楚这些袭击企图是否成功。

安全研究人员报告中表示：“根据来源和可能的目标，这些类型的袭击与APT37等典型的朝鲜黑客团体过去的袭击不相上下，因为韩国历来是该团体的主要目标，尤其是其政府官员。”

APT37，也被称为Nickel Foxcroft、Reaper、Ricochet Chollima和ScarCruft，是一个朝鲜民族国家行为者，以专门关注南部目标而闻名，特别是那些参与报道朝鲜和支持脱北者的目标。

该组织建立的攻击链历来依赖社会工程来欺骗受害者，并将RokRat等有效载荷传递到目标网络上。也就是说，近几个月来，这个对抗性团体通过各种恶意软件扩大了其攻击性武器库，包括一个名为AblyGo的基于Go的后门。新攻击一个显著特点是，利用受损的韩国电子商务网站来部署有效载荷和指挥控制（C2），试图在系统上安装的安全解决方案的雷达下飞行。

作为前身的网络钓鱼电子邮件利用美国陆军征兵信息说服收件人打开ZIP档案文件，其中包含一个伪装成PDF文档的快捷方式文件。启动快捷方式文件时，会显示一个诱饵PDF，但也会暗中激活存档文件中存在的“Thumbs.db”文件的执行。这个文件执行几个功能，包括下载更多的stager和利用schtasks.exe建立持久性。

下一阶段的两个模块——“lsasetup.tmp”和“winrar.exe”——是从一个名为“www.jkmusic.co[.]kr”的受损电子商务网站中检索的，后者用于提取和运行“lsastup.tmp“的内容，这是一个模糊的二进制文件，可以访问名为”www.notebooksell[.]kr“的电子商务网站。

研究人员表示：“一旦建立了连接，攻击者就能够获取系统详细信息，如系统MAC、Windows版本和IP地址，这两个网站都在韩国注册，并且只使用HTTP协议。”

据安实验室安全应急中心（ASEC）称，APT37还被观察到在网络钓鱼电子邮件中使用CHM文件冒充金融机构和保险公司的安全电子邮件，部署窃取信息的恶意软件和其他二进制文件。特别是针对韩国特定用户的恶意软件可能包含用户感兴趣的主题内容，以鼓励他们执行恶意软件，因此用户应避免打开来源不明的电子邮件，也不应执行其附件。

APT37是朝鲜国家支持的众多组织之一，这些组织因实施旨在实施金融盗窃的袭击，并收集情报以追求朝鲜政权的政治和国家安全目标而备受关注。

这还包括臭名昭著的Lazarus Group及其子集群Andariel和BlueNoroff，他们在2022年9月针对东欧国防承包商的入侵中利用了一个名为ScoutEngine的新后门和一个名称为MATA（MATAv5）的恶意软件框架的全面改进版本。

卡巴斯基在2023年第二季度的APT趋势报告中表示：“这种复杂的恶意软件完全从头开始重写，展现了一种先进而复杂的架构，该恶意软件在内部利用进程间通信（IPC）通道，并使用各种命令，使其能够跨各种协议建立代理链，包括在受害者的环境中。”

---

转自E安全，原文链接：https://mp.weixin.qq.com/s/Dj_fwcAGLhuvtvoasbX4EA

封面来源于网络，如有侵权请联系删除