朝鲜黑客利用的新型恶意软件分发技术
北朝鲜APT37组织利用多种文件格式进行恶意软件传播
关键要点
北朝鲜APT37组织使用多种文件格式进行恶意软件部署。该组织初期使用HWP文件传播M2RAT后门,现已扩展至多种微软Office文档及其他格式。Chinotto恶意软件已更新,具备截屏和键盘记录功能,数据会被传送到远程服务器。APT37的恶意活动在两年内未被检测到。根据Hacker News的报道,北朝鲜的高级持续性威胁组织APT37又称Reaper、RedEyes、Scarcruft和Ricochet Chollima正在利用多种文件格式来促进恶意软件的传播。最初,ASEC报道称APT37使用HWP文件来部署M2RAT后门,但Zscaler的研究人员发现,该威胁行动现在通过基于宏的微软Office文档,以及微软编译的HTML帮助文件CHM、LNK、HTA和XLL文件进行恶意软件分发。
风驰加速器这些方法使得Chinotto恶意软件得以部署,该软件已经过更新,具备截屏和键盘记录的功能,收集到的数据会被转送至远程服务器。根据Zscaler的报告,APT37的恶意活动在长达两年的时间内未被检测到。研究人员指出:“该组织不断演变其工具、技术和过程,同时尝试新的文件格式和方法,以绕过安全厂商的防护。”
恶意软件传播方式表
文件格式描述HWP初期用于部署M2RATOffice文档通过宏传播恶意软件CHM微软编译的HTML帮助文件LNKWindows快捷方式文件HTAHTML应用程序文件XLLExcel加载项文件总之,APT37组织通过不断探索新的传播手段和技术,显示出其在网络攻击领域的适应能力。