伪装成PDF文档……恶意代码暗中运行
疑为朝鲜幕后黑客组织“Apt37”所为

发现了一起冒充发送学术会议资料集电子邮件、针对相关研究人员发起的黑客攻击案例。其手法是研究人员一旦打开真实资料集,恶意代码便会在暗中运行。分析认为,此类攻击极有可能是朝鲜幕后黑客组织“APT37”所为。


Genians安全中心13日表示,近期确认到疑似APT37的攻击者传播远程访问木马RokRAT变种恶意代码的迹象。


冒充发送学术会议资料集电子邮件的攻击案例。Genians安全中心供图

冒充发送学术会议资料集电子邮件的攻击案例。Genians安全中心供图

View original image

该中心表示,攻击者于上月22日向研究、政策、学术领域从业者发送了题为“为何现在是前往元山葛麻旅游的时候?”的电子邮件,内容称将发送同月12日在首尔COEX举行的同名学术会议资料集。该邮件盗用了真实举办活动的名称和主办机构信息,并滥用了伪装成统一领域企业的发件人信息。


邮件中包含一个看似附有PDF文档资料集的下载链接。点击该链接后,会下载一个ISO镜像文件,其中含有一个伪装成PDF文档的可执行文件。运行该文件后,屏幕上会显示真实的学术活动资料集文档,但恶意代码会同时启动。


据了解,该恶意代码不会另外生成恶意进程,而是在正常进程内部运行,因此用户难以察觉自己已被感染,同时还能绕过部分安全产品的检测。


最终执行的恶意代码被确认为RokRAT变种。RokRAT是APT37主要使用的恶意代码,具备窃取受感染系统信息并执行远程命令的功能。此次变种还被设计为能够规避网络检测网。


Genians安全中心评估称,此次攻击极有可能是APT37所为。其解释称,攻击者不仅使用了相同账户,且在代码结构等方面也确认与APT37具有高度相似性。


Genians建议称:“此次攻击将滥用真实学术活动信息的社会工程学手法与多阶段载荷结构结合,进一步强化了规避检测能力。”并指出,“除基于入侵指标的检测外,还应建立基于行为的应对体系,将鱼叉式网络钓鱼、基于云的通信等攻击全过程联动起来进行检测。”



冒充发送学术会议资料集邮件的攻击案例画面。安全中心供图

冒充发送学术会议资料集邮件的攻击案例画面。安全中心供图

View original image


本报道由人工智能(AI)翻译技术生成。

版权所有 © 阿视亚经济。未经许可不得转载,禁止用于AI训练及使用。

不容错过的热点