Palo Alto Networks的研究人员近期发布了一篇关于NOKKI恶意软件的报告,报告表示NOKKI和新发现的KONNI恶意软件共用代码。尽管在此报告中没有说明,NOKKI还与KimJongRAT木马共享代码(该木马由Cisco Talos的Paul Rascagnères于2013年发现)。在Palo Alto的另一份报告中,还公布了NOKKI与朝鲜攻击者APT37(又称收割者或Group123)的关联。

与NOKKI关联的恶意文档会利用VBScript,下载一个新发现的名为Final1stspy的恶意软件,该名称是由程序内部的PDB字符串得来的。据Palo Alto Networks指出,Final1stspy带有2个组件,其中名为“LoadDLL”的exe文件,其唯一目的就是加载一个名为“hadowexecute”的DLL payload。在收集完受感染机器的信息后,一个名为“DOGCALL”(又称ROKRAT)的恶意软件会被下载,作为最终payload,这也成为NOKKI和APT37的关联点之一

代码复用的关联信息

报告中所列出的Hash并不能在VirusTotal上查询到该DLL payload组件的信息,于是我们根据“LoadDll”的代码创建了一些YARA标识符,并通过VirusTotal的Hunting功能进行匹配查询。由于exe组件和DLL共用代码,通过YARA匹配,我们找到了Final1stspy的一个早期版本的DLL组件,检测结果为2/67,编译时间戳为2018年5月21日,首次上传日期为2018年6月11日,这是一个早于Palo Alto报告中的版本。在获取到“hadowexecute”DLL组件后,我们利用Intezer Analyze™系统来查看其中是否有代码复用。

​​

我们发现,在Final1stspy的exe组件和此前FreeMilk攻击行动中的部分代码之间,存在代码共用,而FreeMilk行动中使用了ROKRAT。让我们观察ROKRAT和Final1stspy的代码共用部分,在IDA中对比这些函数,你会发现它们之间有完全相同的匹配。


这个函数仅在Group123组织的ROKRAT和Final1stspy的DLL组件中出现过,该函数的功能是收集系统信息并以相同格式保存。

结论

Group123作为这些恶意软件攻击者的证据不仅仅体现在最终payload上,也体现在代码本身。代码复用也为KimJongRAT, KONNI, NOKKI, Final1stspy, ROKRAT和APT37之间的关联提供了更多证据。

IOCs

Final1stspy

2011b9aa61d280ca9397398434af94ec26ddb6ab51f5db269f1799b46cf65a76 (DLL)

0669c71740134323793429d10518576b42941f9eee0def6057ed9a4ba87a3a9a (DLL)

fb94a5e30de7afd1d9072ccedd90a249374f687f16170e1986d6fd43c143fb3a (EXE)

Group 123 (FreeMilk / ROKRAT Samples)

99c1b4887d96cb94f32b280c1039b3a7e39ad996859ffa6dd011cf3cca4f1ba5

01045aeea5198cbc893066d7e496f1362c56a154f093d1a8107cecad8d4e4df2

26ad5f8889d10dc45dcf1d3c626416eb604f5fe4a7268e044f17a3ab6ff14e53

65ec544841dbe666d20de086495158128ddffb8b076ddb801a3f2dc250481135

7f35521cdbaa4e86143656ff9c52cef8d1e5e5f8245860c205364138f82c54df

ef40f7ddff404d1193e025081780e32f88883fa4dd496f4189084d772a435cb2

恶意软件NOKKI和朝鲜“Group123”APT组织关联的最新证据相关推荐

  1. 【安全漏洞】朝鲜InkySquid APT组织是怎么利用浏览器漏洞感染受害者

    朝鲜InkySquid APT组织利用浏览器漏洞感染受害者. 2021年4月,Volexity研究人员识别出了通过www.dailynk[.]com网站加载到恶意子域名的jquery[.]servic ...

  2. Hermit(隐士)APT组织2020年最新攻击活动分析

  3. APT组织Reaper新Dropper公开:NOKKI和DOGCALL存在关联性

    国庆节快乐 披露时间:2018.10.1 APT组织:Reaper(Group123,apt37) 该组织特定使用的与本次事件相关恶意软件家族:DOGCALL 新公开恶意dropper家族:Final ...

  4. [译] APT分析报告:03.OpBlueRaven揭露APT组织Fin7/Carbanak(上)Tirion恶意软件

    这是作者新开的一个专栏,主要翻译国外知名的安全厂商APT报告文章,了解它们的安全技术,学习它们溯源APT组织的方法,希望对您有所帮助.前文分享了钓鱼邮件网址混淆URL逃避检测,这篇文章将介绍APT组织 ...

  5. 朝鲜APT组织使用带后门IDA软件攻击安全研究人员

    2021年初,朝鲜APT组织Lazarus通过养推特大V账号,配合定制开发的恶意软件+0day漏洞针对安全研究人员进行了一系列的网络攻击活动,详细可见:通过社交媒体针对安全研究人员的社会工程学攻击活动 ...

  6. 朝鲜APT组织RedEye(Reaper)||ISIS持续进行 OpTheWorld行动

    一.朝鲜APT组织RedEye(Reaper/Group 123)新活动与总结 历史攻击事件与手段还有文档内容标题 历史样本家族与对应功能 Reloader (DocPrint) 在内存中执行其他恶意 ...

  7. APT组织BlackEnergy继任者:GreyEnergy,台湾研华公司证书被其盗取

    相关链接(点击阅读原文即可): https://www.welivesecurity.com/2018/10/17/greyenergy-updated-arsenal-dangerous-threa ...

  8. 朝鲜国家黑客组织Lazarus 被指攻击IT供应链

     聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 专栏·供应链安全 数字化时代,软件无处不在.软件如同社会中的"虚拟人",已经成为支撑社会正常运转的最基本元素之一,软件的安全 ...

  9. 刺向巴勒斯坦的致命毒针——双尾蝎 APT 组织的攻击活动分析与总结

    刺向巴勒斯坦的致命毒针--双尾蝎 APT 组织的攻击活动分析与总结 封面-pic1 一.前言 双尾蝎APT组织(又名:APT-C-23),该组织从 2016 年 5 月开始就一直对巴勒斯坦教育机构.军 ...

最新文章

  1. iOS UICollectionView实现瀑布流(3)
  2. 机器学习(MACHINE LEARNING)灰色关联分析(GRA)
  3. javascript函数式_JavaScript中的函数式编程原理
  4. 草稿 0242 ktv第一个页面
  5. 猴子选大王 (20 分)
  6. GCC,GDB,Makefile
  7. java B2B2C Springboot仿淘宝电子商城系统(六)springboot整合mybatis
  8. linux_basics
  9. VBA实战(6) - 数组
  10. 数据库备份软件带邮件发送
  11. C++之个人银行账户管理程序(二)
  12. linux每日命令(3):ln命令
  13. 这可能是最简单,精炼,有效的magisk 安装教程,附boot.img 提取方法
  14. 年终囍一批、愁一批......浮躁啊,眼红啊,这个真有
  15. 函数指针的定义及使用
  16. 何为Servlet?
  17. is not backed by gradle android,Module … is not backed by gradle
  18. 蚂蚁金服宫孙:guava探究系列之优雅校验数据
  19. 计算机视觉 响应_视觉响应式布局的自动化测试
  20. 显示隐藏Html元素(div等)

热门文章

  1. 互联网小拼,这一生的故事,你要看看吗《打工人的那些事》
  2. 苹果手机双卡双待是哪一款_提个醒:手机“双卡双待”,卡一和卡二究竟有什么区别?早知道为好...
  3. DR模式——LVS负载均衡群集
  4. 2018红帽杯线上预选赛 wp---MISC
  5. Swing学习笔记目录
  6. 百度云 php api接口调用 签名计算
  7. 营销落地页及客服咨询转化技巧 —百度竞价
  8. Android开发概述
  9. DC-DC(直流-直流)变换器
  10. “程序员吐槽大会”上,被怼坏的阿里美女产品经理,做出了2亿人在用的钉邮钉盘!...