朝鲜APT组织Group123利用美朝会议消息构造恶意HWP文件针对韩国发起攻击

释放双眼,带上耳机,听听看~!

本次攻击仍为以往追踪的Group123所发起的攻击事件,恶意文档文件名为미북 정상회담 전망 및 대비.hwp ,即美朝峰会的前景与展望,该次会议将在612日举行。

 

该文档触发漏洞后,会执行文件中包含的EPS对象,该对象会执行恶意shellcode,并下载hxxp://artndesign2[.]cafe24[.]com:80/skin_board/s_build_cafeblog/exp_include/img.png,该网站实际为合法网站。

最终释放出最后的NavRAT远控。有趣的是,该远控通过韩国的Naver邮箱就行命令传输。目前由于太多人登录该邮箱,目前账户已被锁定。

 

实际上,NavRAT能够下载接收后的电子邮件的附件文件,并且可以进行删除,最后它会通过该账户发送电子邮件,发送的地址也已经被锁定,为chioekang59@daum[.]net

 

通过对以往Group123ROKRAT与本次攻击的NavRAT相比较,可以发现shellcode几乎一致,且Group123上一次攻击过程中使用的HWP文件嵌入的shellcode也几乎一致。因此可以断定此次攻击为该组织发起。

 

 ioc:

HWP: e5f191531bc1c674ea74f8885449f4d934d5f1aa7fd3aaa283fe70f9402b9574
NavRAT: 4f06eaed3dd67ce31e7c8258741cf727964bd271c3590ded828ad7ba8d04ee57
Payload: hxxp://artndesign2[.]cafe24[.]com:80/skin_board/s_build_cafeblog/exp_include/img.png

2016 NavRAT:
e0257d187be69b9bee0a731437bf050d56d213b50a6fd29dd6664e7969f286ef

关联样本,csrss.exe

f5987f854e1104973f84b2fcdbaff0cb

本文源自微信公众号:黑鸟

人已赞赏
安全工具

网络战加剧:美国声称将加强对俄罗斯电网系统的网络攻击

2019-10-16 10:42:52

安全工具

威胁预测系列更新:工业,金融与数字货币 + 情报和资源

2019-10-16 10:42:58

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索