APT37 是与朝鲜结盟的威胁行为者,也称为 ScarCruft、Ruby Sleet 和 Velvet Chollima,它通过针对 Windows 系统的复杂新恶意软件扩展了其武器库。
该组织自 2012 年以来一直活跃,主要关注与朝鲜政权有联系或参与人权活动的韩国个人。
该威胁行为者现在引入了一个名为 Rustonotto 的基于 Rust 的后门,并增强了基于 Python 的注入技术来部署他们的监控工具 FadeStealer。
最新的活动展示了 APT37 在采用现代编程语言和先进注入技术方面的演变。
攻击链从包含恶意 Windows 快捷方式文件或编译的 HTML 帮助 (CHM) 文件的鱼叉式网络钓鱼电子邮件开始。
这些初始向量导致部署通过单个命令和控制服务器编排的多个恶意软件组件。
Rust 编程语言的集成代表了该组织的重大转变,有可能实现多平台攻击,同时保持轻量级后门功能。
Zscaler 研究人员发现了这个自 2025 年 6 月以来运行的复杂恶意软件集群,揭示了威胁行为者对社会工程策略和技术能力的不断完善。
该活动利用事务性 NTFS (TxF) 进行隐秘代码注入,展示了先进的规避技术。
研究人员观察到 APT37 利用易受攻击的 Web 服务器作为 C2 基础设施,使用统一的 PHP 脚本来控制其整个恶意软件工具包,包括 Rustonotto、Chinotto 和 FadeStealer 变体。
攻击方法涉及有效负载交付和执行的多个阶段。初始入侵是通过嵌入 PowerShell 脚本的 Windows 快捷方式文件或建立注册表持久性机制的 CHM 文件发生的。
这些向量随后部署了 Rust 编译的 Rustonotto 后门,该后门充当轻量级命令执行器,能够接收 Base64 编码的 Windows 命令并将执行结果返回到威胁行为者的基础设施。
高级注入技术和有效负载部署
该活动最复杂的方面涉及通过利用进程分身的基于 Python 的注入机制部署 FadeStealer。
威胁行为者提供打包在 Microsoft Cabinet 文件中的恶意有效负载,其中包含三个关键组件:重命名为 tele_update.exe 的合法 Python 模块、负责解密和注入的编译 Python 模块 (tele.conf) 以及加密的 FadeStealer 有效负载 (tele.dat)。
Python 注入脚本(内部名为 TransactedHollowing.py)采用 Windows 事务性 NTFS API 在事务上下文中创建临时文件。
解密例程从有效负载中提取 XOR 密钥,并应用自定义解密算法来显示最终可执行文件。
进程分身技术涉及从事务文件创建节对象,将它们映射到挂起的合法进程中,以及作线程上下文以重定向执行流。
FadeStealer 作为一种综合监控工具运行,进行实时键盘记录、每 30 秒捕获一次屏幕截图、录制 5 分钟的音频会话以及每小时监控 USB 设备。
该恶意软件创建带有硬编码密码保护的时间戳存档,利用嵌入式 RAR 实用程序通过具有多部分表单数据的 HTTP POST 请求进行数据压缩和泄露。
| 恶意软件组件 | 程序设计语言 | 主要功能 | 持久化方法 | 通信 |
|---|---|---|---|---|
| 鲁斯托诺托 | 锈 | 轻量级后门 | 计划任务 (MicrosoftUpdate) | 具有 Base64 编码的 HTTP |
| 奇诺托 | PowerShell的 | 命令执行和文件作 | 注册表运行项 | HTTP POST 请求 |
| 淡入淡出窃取者 | Windows PE(通过 Python 注入) | 监视和数据泄露 | 注册表运行项 (TeleUpdate) | HTTP 分段上传 |
| Python 加载器 | 蟒 | 进程注入和有效负载部署 | 嵌入到合法流程中 | 本地文件作 |
该活动的技术复杂性与有针对性的社会工程相结合,表明 APT37 的持续发展以及对与朝鲜事务有关的个人和组织的持续威胁。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
