针对韩国的APT组织
APT37组织又名Group123、InkySquid、Operation Daybreak、Operation Erebus、Reaper Group、Red Eyes、ScarCruft、Venus 121。
该组织至少从2012年开始活跃,主要针对韩国的公共和私营部门。2017年,APT37将其目标扩展到朝鲜半岛之外,包括日本、越南和中东,并扩展到更广泛的垂直行业,包括化学、电子、制造、航空航天、汽车和医疗保健实体。
2023年,APT37组织开始针对国内用户进行网络钓鱼,涉及Windows和Android平台。
样本信息
我们捕获的两条较为攻击样本如下:
样本一:(安全专栏)安全机构不应对反国家势力束手无策.zip
样本一中释放的诱饵为韩国国家安全与统一研究所高级研究员、檀国大学行政法研究生院兼职教授、21世纪战略研究所所长发布的专栏文章,文章讨论了朝鲜敌意的加剧以及对外部渗透和间谍活动的担忧。
样本二:对朝鲜的贡献(1).zip
样本2具有多个诱饵,为朝鲜研究所研究员以及社会人士发表的各类朝鲜政治话题的文章,推测该样本用于攻击朝鲜政治主题相关研究人员。
思考总结
随着近期朝鲜领导人提出“北南关系再也不是同族关系、同质关系,而且完全固定为敌对的两个国家关系、战争中的两个交战国关系”,朝韩关系骤然紧张。
APT37组织多年来持续性的对韩国发起攻击,持续恶化的两国关系不仅为该组织提供了更多的攻击动机,韩国民众对于朝韩关系关注度的上升也有利于该组织使用鱼叉式钓鱼邮件等方式进行攻击。
从本次捕获的攻击样本来看,该组织的核心攻击木马较一年前无太大变化,仅通过改变诱饵文件以及木马加载方式来提高攻击成功率。
这种简单快捷的攻击方式虽然可快速发起攻击,但也存在易被安全产品检测的问题,因此该组织在不断提高压缩包的大小以逃避检测。随着两国关系的持续紧张,相信未来该组织会进行更多类似的攻击活动。
参考链接: https://mp.weixin.qq.com/s/yzd0aVq2wzi-v-eB73F6lQ
图片来源网络目标可联系删除
