瑞星EDR还原APT37组织对中韩食品行业攻击过程
近日,瑞星威胁情报平台捕获到一起疑似针对中韩两国食品行业的APT攻击事件。通过分析发现攻击者为APT37组织,该组织使用名为韩语、内容为中文的设备清单作为诱饵,通过钓鱼邮件向涉及到面包生产线的食品行业发送恶意文件,企图远程控制系统并窃取企业数据。
目前,瑞星终端威胁检测与响应系统(EDR)已记录并可视化地还原了整个攻击过程,广大用户可使用威胁调查功能,从任意节点和关键元素全方位了解每一步攻击进程,以此来提升防御APT攻击的能力。
图:瑞星EDR还原APT37组织的整个攻击流程
具有国家背景的攻击组织
APT37是一个至少从2012年就开始对目标进行网络攻击的威胁组织,该组织又被称为Konni、Group123、TEMP.Reaper等。APT37组织疑似来自朝鲜,具有国家背景,其目的主要是信息盗窃和间谍活动,目标包括中国、俄罗斯、印度、日本和韩国等,涉及的领域涵盖政府、航空航天、汽车、化工、金融、医疗保健、制造和运输等。
中韩语混合的诱饵文档
瑞星安全专家介绍,在此次攻击中,APT37组织会通过钓鱼邮件向受害者投递一个压缩包,该压缩包中包含一个名称为韩语的快捷方式,该快捷方式会指向恶意的PowerShell代码。此PowerShell代码不仅会释放多个文件,还会释放出一个关于设备清单的诱饵文档。
图:APT37组织在此次攻击活动中使用的诱饵文档
该诱饵文档虽然名称为“ .doc”(设备清单),但点开文档后会发现,其内容为中文编写,详细列出了面包生产线中多个机械设备的参数信息。根据该诱饵文档的内容猜测,此次攻击的目标极有可能与中韩两国有关,且针对于面包生产线相关的食品行业。
图:攻击流程
常被攻击组织使用的远控木马
瑞星安全专家表示,诱饵文档只是为了迷惑受害者,与其同时释放出的bat和dat文件才是关键,攻击者可以利用这些文件在内存中隐秘地执行RokRAT远控木马,对受害者主机进行控制,窃取指定文件或信息,下发并执行其他恶意程序。
由于RokRAT木马是一种基于云的远程访问工具,能够借助dropbox、pCloud等云存储平台作为指挥和控制服务器,因此可以降低被杀毒软件检测到的风险,而常常被APT攻击组织所使用。
能够防御APT攻击的几种方法
鉴于APT37组织近期较为活跃,且目标已涉及到我国,因此瑞星安全专家提醒广大用户应加强防御,做到以下几点:
1. 不打开可疑文件。
不打开未知来源的可疑的文件和邮件,防止社会工程学和钓鱼攻击。
2. 部署EDR、NDR产品。
利用威胁情报追溯威胁行为轨迹,进行威胁行为分析,定位威胁源和目的,追溯攻击的手段和路径,从源头解决网络威胁,最大范围内发现被攻击的节点,以便更快响应和处理。
3. 安装有效的杀毒软件,拦截查杀恶意文档和恶意程序。
杀毒软件可拦截恶意文档和恶意程序,如果用户不小心下载了恶意文件,杀毒软件可拦截查杀,阻止病毒运行,保护用户的终端安全。
4. 及时修补系统补丁和重要软件的补丁。
许多恶意软件经常使用已知的系统漏洞、软件漏洞来进行传播,及时安装补丁将有效减少漏洞攻击带来的影响。
0人
- 每日推荐
- 股票频道
- 要闻频道
- 港股频道
![](http://u.thsi.cn/imgsrc/flashcms/659633220_f959b22db4ace35a51d59fa4e84f3220.png)
![](http://u.thsi.cn/imgsrc/flashcms/659633220_46388c94fcdd6dc31b99749258bd167c.jpeg)
- 转融通引发市场下跌?证监会回应
- 融资出逃4大行业超20亿元,电子行业成“香饽饽”,月内融资大手笔加仓股出炉
- 转融通引发市场下跌?证监会回应:转融券规模持续下降趋势未改变
- 227家公司获机构调研(附名单)
- 北向显著回流 外资投下“信心票”
- 北方高温持续 铁路部门全力保障迎峰度夏电煤运输(附概念股)
- 大圆柱电池2030年或有百倍增长空间 机构憧憬规模量产(附概念股)
- 6月16日环氧丙烷产业链情报
- 227家公司获机构调研