Углубляемся в набор инструментов APT37 для Северной Кореи. [Исследовательская суббота]

Гость Хоссейн Джази из Malwarebytes присоединяется к нам, чтобы глубже погрузиться в инструментарий северокорейской APT37 (также известной как ScarCruft, Reaper и Group123). 7 декабря 2020 года команда по выявлению угроз Malwarebytes Labs обнаружила вредоносный документ, загруженный в Virus Total, который выдавал себя за приглашение на встречу, вероятно, использовавшееся для атаки на правительство Южной Кореи. Указанная в документе дата встречи - 23 января 2020 года, что совпадает с датой компиляции документа 27 января 2020 года, что указывает на то, что эта атака произошла почти год назад. Файл содержит встроенный макрос, который использует технику самодекодирования VBA для декодирования себя в памяти Microsoft Office без записи на диск. Затем он внедряет вариант RokRat в Блокнот. На основе внедренного полезной нагрузки команда Malwarebytes считает, что этот образец связан с APT37. Эта северокорейская группа также известна как ScarCruft, Reaper и Group123 и была активна как минимум с 2012 года, в основном атакуя жертв в Южной Корее. Исследование можно найти здесь: Retrohunting APT37: Северокорейская APT использовала технику самодекодирования VBA для внедрения RokRat