概述

  瑞星威胁情报平台近期捕获到一起针对韩国用户的攻击事件。攻击者通过钓鱼邮件定向投递快捷方式文件作为初始攻击武器，并利用双扩展名技术将其伪装成合法文档（如HWP、XLS、Docx等）。其中，HWP是韩国特有的办公文件格式，在政企机构中尤为常见。与以往使用定制化PE后门不同，此次攻击采用混淆的轻量化脚本作为后门工具，实现文件下载、上传等功能，并通过Dropbox、Google Drive等公共服务投递恶意载荷及进行C2通信。通过对本次捕获到的多个恶意样本进行分析，发现部分样本的最早创建时间可追溯至2021年，表明攻击具有长期潜伏的特点。这些手法与APT37组织高度吻合，体现出针对性强、持续时间长、隐蔽性高等特征。

  APT37是一个活跃于朝鲜半岛的网络威胁组织，又名Konni、ScarCruft、Group123、TEMP.Reaper等。其目标包括俄罗斯、韩国以及周边国家地区，以窃取敏感信息为主，涉及航空航天、汽车、化工、金融、政府、医疗保健、制造和运输等领域。该组织的攻击活动最早可追溯到2012年，该组织习惯于使用脚本作为攻击武器，在近年来活动频繁，被数个国内外安全团队持续追踪和披露。

概述

  瑞星威胁情报平台于2024年4月捕获一起攻击事件，该事件中使用的诱饵文档名字是韩语，文档内容是中文，猜测目标可能与中韩相关。在攻击过程中，攻击者疑似通过钓鱼邮件向受害者投递恶意压缩包，该压缩包内含有一个恶意的快捷方式，这个快捷方式指向一段恶意的PowerShell代码。PowerShell会释放诱饵文档迷惑用户的同时还会释放三个文件（分别为price.bat、para.dat和panic.dat），最终利用这些文件在内存中隐秘执行RokRAT远控木马，从而实现对受害者机器的完全控制，例如窃取受害者计算机上指定文件或者其他敏感信息、下发其他恶意程序并执行、捕获屏幕截图等。

概述

  瑞星威胁情报平台于2024年3月捕获一起疑似针对韩国的攻击事件。攻击者疑似通过钓鱼邮件向受害者投递恶意压缩包，压缩包内含有恶意的快捷方式，该快捷方式指向恶意的PowerShell代码。PowerShell释放诱饵文档迷惑用户的同时还会通过和指定服务器通信来上传窃密数据以及下发恶意代码执行，这可能会导致受害者的系统被攻击者完全控制。

概述

  瑞星威胁情报平台捕获到一起针对韩国的攻击事件。攻击者通过邮件发送给受害者压缩包。压缩包解压之后是一个50M的快捷方式文件，当用户双击快捷方式后会执行PowerShell命令，在Temp目录之下释放一个HWP文件和一个以固定日期命名的bat脚本文件，该脚本会启用PowerShell.exe从api.onedrive.com上下载RokRat木马加载到内存中执行，据国内外多家安全厂商披露，该木马疑似是APT37常用的攻击武器，通过将本次攻击行动感染链与APT37组织过往感染链的对比分析，将本次捕获到的攻击行动归属于APT37组织具有高可信度。