據(jù)悉，與朝鮮政府有聯(lián)系的黑客組織正在大量的利用一個被稱為Goldbackdoor的新型惡意軟件來攻擊記者。這種攻擊包括了多個階段的感染活動，其最終目的是要從目標中竊取敏感的信息。研究人員發(fā)現(xiàn)，該攻擊活動于今年3月份開始，并且目前正在進行中。

Stairwell的研究人員跟進了韓國NK新聞的一份初步報告，該報告顯示，一個被稱為APT37的朝鮮APT組織已經(jīng)從一名前韓國情報官員的私人電腦中竊取了信息。根據(jù)該報告，該攻擊行為者，也被稱為Ricochet Collima、InkySquid、Reaper或ScarCruft，曾經(jīng)試圖冒充NK News，并嘗試分發(fā)一種新型的惡意軟件。

NK News將這些細節(jié)傳遞給了Stairwell進行了更進一步調(diào)查。該網(wǎng)絡(luò)安全公司的研究人員發(fā)現(xiàn)了Goldbackdoor惡意軟件的詳細信息。根據(jù)他們在上周末發(fā)表的一份報告，該惡意軟件很可能是Bluelight惡意軟件開發(fā)者開發(fā)的。

研究人員寫道，Goldbackdoor惡意軟件與Bluelight惡意軟件使用了很多相同的技術(shù)，這些技術(shù)上的重合，很可能是開發(fā)者之間共享了開發(fā)資源，我們可以有充分的理由將Goldbackdoor歸于APT37。

去年8月，在針對一家韓國報紙社的一系列攻擊中，APT37曾使用Bluelight作為有效載荷，并且在這些攻擊中使用了已知的Internet Explorer的漏洞。

正如Stairwell研究人員所指出的，記者目前是"敵對政府的首選攻擊目標"，并且也經(jīng)常成為了網(wǎng)絡(luò)間諜攻擊的目標。事實上，去年最大的安全事件之一就是各國政府利用非政府組織集團的Pegasus間諜軟件來對記者和其他目標進行攻擊。

Stairwell研究人員寫道："記者的設(shè)備中往往存儲有許多重要的文檔文件。有時還包括很多敏感的信息。對記者進行攻擊可以獲得高度敏感的信息，而且還能對他們的消息來源進行額外的攻擊"。

多階段的惡意軟件

研究人員寫道，當前的攻擊活動從3月18日開始進行，當時NK News與Stairwell威脅研究小組研究了多個惡意的文件，這些文件來自于專門針對朝鮮記者進行攻擊的魚叉式網(wǎng)絡(luò)釣魚活動。這些信息是從韓國國家情報局(NIS)的一名前局長的個人電子郵件中發(fā)出的。

他們寫道："這些文件中有一個是新的惡意軟件樣本，我們將其命名為Goldbackdoor，它是基于一個嵌入式工件開發(fā)的文件”。

研究人員說，Goldbackdoor是一個分多階段進行感染的惡意軟件，它將第一階段的工具和最終的有效載荷分開，這可以使威脅攻擊者在最初的目標被感染后停止惡意文件的部署。

他們在報告中寫道，這種設(shè)計可能會限制研究人員針對有效載荷的分析和研究。

該惡意軟件和之前的Bluelight一樣，都會使用云服務(wù)提供商的基礎(chǔ)設(shè)施來接收攻擊者的命令和竊取的數(shù)據(jù)。研究人員所分析的樣本使用了微軟OneDrive和Graph APIs，而另外一個確定的SHA256哈希樣本使用了谷歌Drive。

研究人員說，攻擊者在惡意軟件中嵌入了一組API密鑰，其可以用于對微軟的云計算平臺Azure進行驗證，并檢索執(zhí)行相關(guān)的命令。

他們寫道，Goldbackdoor為攻擊者提供了基本的遠程命令執(zhí)行、文件下載/上傳、鍵盤記錄和遠程卸載等能力，這種功能的設(shè)定與Bluelight有密切的關(guān)系。但是，Goldbackdoor功能增加的重點放在了文件收集和鍵盤的記錄上。

第一階段

Goldbackdoor是一個非常復雜的惡意軟件，研究人員將其感染的過程分解成了兩個階段。在第一階段，受害者必須從一個被破壞的網(wǎng)站上下載一個ZIP文件，URL: https[:]//main[.]dailynk[.]us/regex?id=oTks2&file=Kang Min-chol Edits2.zip。研究人員說，域名dailynk[.]us很可能是為了冒充NK新聞(dailynk[.]com)而選擇使用的，并且APT37在以前的攻擊活動中就曾經(jīng)使用過。

Stairwell研究人員從該網(wǎng)站的DNS歷史記錄中檢索出了ZIP文件進行分析，并且在他們調(diào)查時，該網(wǎng)站已經(jīng)停止了解析。他們發(fā)現(xiàn)，該文件創(chuàng)建于3月17日，包含了一個282.7MB的Windows快捷文件LNK，其文件名為Kang Min-chol Edits，這可能是指朝鮮礦業(yè)部長Kang Min-chol。

研究人員寫道："攻擊者將這個快捷方式偽裝成了一個文件，他們使用了微軟Word的圖標，并且又添加了類似于Word文檔的注釋。”

他們還為LNK文件填充了0x90字節(jié)，即NOP/No Operation，人為地增加了這個文件的大小，他們說這可能是為了防止該文件被上傳到檢測服務(wù)或惡意軟件庫的一種保護手段。

研究人員說，一旦開始執(zhí)行，LNK文件就會執(zhí)行一個PowerShell腳本，在開始Goldbackdoor的部署過程之前創(chuàng)建并打開一個誘餌文件。

第二階段

在部署誘餌文件后，PowerShell腳本會解碼第二個PowerShell腳本，然后將下載并執(zhí)行存儲在微軟OneDrive上的名為 "Fantasy"的shellcode有效載荷。

研究人員說，"Fantasy" 有效載荷是該惡意軟件攻擊的第二階段，同時也是部署Goldbackdoor軟件過程的第一部分。這兩部分都是以獨立的代碼(shellcode)編寫的，其中包含了一個嵌入式有效載荷，并使用進程注入技術(shù)來部署惡意軟件。

研究人員說，F(xiàn)antasy解析和解碼有效載荷的過程，會使用VirtualAllocEx,WriteProcessMemory和RtlCreateUserThread等標準進程，在先前創(chuàng)建的進程下生成一個線程，然后執(zhí)行它。

最后的攻擊手段是使用一個shellcode有效載荷，并且該線程會在Fantasy創(chuàng)建的進程中運行，執(zhí)行惡意軟件的最終部署。

研究人員寫道，這個階段交付的有效載荷其實是一個Windows可執(zhí)行文件。

本文翻譯自：https://threatpost.com/hackers-target-journalists-goldbackdoor/179389/如若轉(zhuǎn)載，請注明原文地址。