當地時間4月25日，美國新聞網站NK News稱，其發現朝鮮支持的APT37正利用一種新型惡意軟件樣本攻擊在朝記者。

APT37又名Ricochet Chollima，據信是由朝鮮政府支持，它將新聞報道視為一種敵對行動，試圖利用這次攻擊獲取機密信息，并查明記者的消息來源。

NK News是一家美國新聞網站，致力于利用朝鮮國內的情報體系，報道朝鮮新聞并提供有關朝鮮的研究和分析。在發現攻擊后，NK News聯系惡意軟件專家Stairwell進行技術分析。

Stairwell發現了一個名為 "Goldbackdoor "的新惡意軟件樣本，該樣本通過網絡釣魚攻擊傳播，被評估為 "Bluelight "的繼任者。

值得注意的是，這并不是APT37第一次針對記者展開惡意軟件攻擊。距今最近的一次是2021年11月，其采用高度定制的 "Chinotto "后門攻擊記者。

攻擊部署復雜而多樣?

這些釣魚郵件來自韓國國家情報局(NIS)前局長的賬戶，APT37之前已經入侵了該賬戶。

在這次目標高度明確的行動中，攻擊者的部署更多樣，采用了兩階段感染過程，使分析人員難以對有效載荷進行采樣。

兩階段感染過程

發給記者的電子郵件包含ZIP附件下載鏈接，文檔名稱為“姜敏哲(音譯)編輯”(姜敏哲為朝鮮礦業部長)，其中有含有LNK文件(快捷方式文件)。

LNK文件偽裝成一個文檔圖標，并使用填充物將其擴容到282.7MB，輕松繞過殺毒軟件Virus Total和其他在線檢測工具。

在執行時，PowerShell腳本啟動并打開一個誘餌文檔(doc)以分散注意力，同時在后臺解碼第二個腳本。

攻擊中使用的第一個PowerShell腳本

該誘餌文檔包含一個托管在Heroku平臺上的嵌入式外部圖像，一旦該文檔被打開，攻擊者會收到警報。

文檔中的嵌入式跟蹤器鏈接

第二個腳本下載并執行儲存在微軟OneDrive上的shellcode有效載荷，由于OneDrive的服務合法性，它不太可能觸發防病毒警報。

這一有效載荷被稱為 "幻想"，Stairwell表示，它是Goldbackdoor兩種部署機制中的第一種，依賴于隱蔽的進程注入。

惡意軟件Goldbackdoor

Goldbackdoor以PE文件(可執行文件)的形式執行，可以遠程接受基本命令并竊取數據。

它配備了一套API密鑰，用于驗證Azure和檢索執行的命令。這些命令與鍵盤記錄、文件操作、基本RCE和卸載本身的能力有關。

該惡意軟件利用合法的云服務來竊取文件，Stairwell注意到Google Drive和微軟OneDrive被濫用。

Goldbackdoor的目標文件主要是文件和流媒體，如PDF、DOCX、MP3、TXT、M4A、JPC、XLS、PPT、BIN、3GP和MSG。

雖然這是一次針對性很強的活動，但Stairwell技術報告中提到的發現、曝光以及由此產生的檢測規則和文件哈希值，對信息安全界來說仍然意義重大。

參考鏈接：https://www.bleepingcomputer.com/news/security/north-korean-hackers-targeting-journalists-with-novel-malware/