事件背景
ScarCruft是Kaspersky于2016年披露的东亚地区APT组织,该组织擅长在攻击活动中使用0-day漏洞、图片隐写术以及合法云服务等。
2023年8月24日,日本政府将经过处理的福岛核废水排入太平洋,这项决定引发国际社会的广泛关注和争议。该核废水总量超过100万吨,曾经受到放射性核素污染,福岛第一核电站在日本政府批准和国际原子能机构监督下,将核污染水过滤和稀释后逐步排入海洋,预计整个排海计划为期至少30年。
近期,安恒猎影实验室再次捕获ScarCruft利用福岛核废水排放话题针对韩国用户的CHM攻击样本,攻击手法在我们上周发布的报告《ScarCruft针对韩国金融、高校下发Chinotto后门的攻击活动分析》中有详细的介绍。
此次,ScarCruft依然以CHM文件执行远程代码的方式进行钓鱼邮件攻击,后续下发Chinotto后门,后门主要功能依旧为窃取本机文件上传,对比上个版本新增了计划任务创建功能以及文件删除功能,具有更好的持久化驻留以及入侵痕迹清除能力。
攻击分析
本次捕获到的初始文件上传自韩国,文件名为Fukushima.rar(福岛),该RAR文件中包含同名CHM文件。
CHM文件运行后,将执行远程代码hxxp://navercorp.ru/dashboard/image/202302/4.html
同时释放诱饵文件内容以迷惑目标用户,诱饵内容主要描述了日本福岛核污水排海后,韩国没有发生大规模消费者抵制日货的行动,其中日本啤酒的销量反而在一周内同比增长了35%。
远程代码依然是通过powershell.exe执行Chinotto后门
本次捕获到的Chinotto后门与此前披露的后门指令更新如下:
该后门的主要功能依旧为窃取本机文件上传,近期更新的版本种新增了创建计划任务功能,以加强其持久化驻留的能力,以及文件删除功能,以清除后门植入留下的痕迹。
防范建议
猎影实验室提醒广大用户朋友,不运行未知来源的邮件附件。如有需要鉴别的未知来源样本,可以投递至安恒云沙箱查看判别结果后再进行后续操作。猎影实验室将持续对全球APT组织进行持续跟踪,专注发现并披露各类威胁事件。
目前安全数据部已具备相关威胁检测能力,对应产品已完成IoC情报的集成。针对该事件中的最新IoC情报,以下产品的版本可自动完成更新,若无法自动更新则请联系技术人员手动更新:
1. AiLPHA分析平台V5.0.0及以上版本
2. AiNTA设备V1.2.2及以上版本
3. AXDR平台V2.0.3及以上版本
4. APT设备V2.0.67及以上版本
5. EDR产品V2.0.17及以上版本
IOC
a8c06b1f34c430358a2db30988066def
9e6a2914a35256dd450db549fb975f45
hxxp://navercorp.ru/dashboard/image/202302/4.html
hxxp://navercorp.ru/dashboard/image/202302/com.php?U=转载来源:https://starmap.dbappsecurity.com.cn/blog/articles/2023/09/06/scarcruft-fukushima/
图片来源网络侵权可联系删除
