瑞星威胁情报平台于2024年4月捕获一起攻击事件,该事件中使用的诱饵文档名字是韩语,文档内容是中文,猜测目标可能与中韩相关。在攻击过程中,攻击者疑似通过钓鱼邮件向受害者投递恶意压缩包,该压缩包内含有一个恶意的快捷方式,这个快捷方式指向一段恶意的PowerShell代码。PowerShell会释放诱饵文档迷惑用户的同时还会释放三个文件(分别为price.bat、para.dat和panic.dat),最终利用这些文件在内存中隐秘执行RokRAT远控木马,从而实现对受害者机器的完全控制,例如窃取受害者计算机上指定文件或者其他敏感信息、下发其他恶意程序并执行、捕获屏幕截图等。
瑞星威胁情报平台于2024年3月捕获一起疑似针对韩国的攻击事件。攻击者疑似通过钓鱼邮件向受害者投递恶意压缩包,压缩包内含有恶意的快捷方式,该快捷方式指向恶意的PowerShell代码。PowerShell释放诱饵文档迷惑用户的同时还会通过和指定服务器通信来上传窃密数据以及下发恶意代码执行,这可能会导致受害者的系统被攻击者完全控制。
瑞星威胁情报平台捕获到一起针对韩国的攻击事件。攻击者通过邮件发送给受害者压缩包。压缩包解压之后是一个50M的快捷方式文件,当用户双击快捷方式后会执行PowerShell命令,在Temp目录之下释放一个HWP文件和一个以固定日期命名的bat脚本文件,该脚本会启用PowerShell.exe从api.onedrive.com上下载RokRat木马加载到内存中执行,据国内外多家安全厂商披露,该木马疑似是APT37常用的攻击武器,通过将本次攻击行动感染链与APT37组织过往感染链的对比分析,将本次捕获到的攻击行动归属于APT37组织具有高可信度。
2023年7月,瑞星威胁情报中心捕获到多个带有中文诱饵文档的恶意压缩包。这些攻击事件除压缩包名称以及诱饵文档不同之外,其他相关的攻击战术,过程等基本一致。通过分析发现,其攻击链中的最后一步是在受害者机器上部署CobaltStrike。 CobaltStrike具有多种功能,包括远程控制、漏洞利用、命令和控制服务器等,可用于渗透测试和网络攻击。