APT37 通过 Facebook 针对个人部署 RokRAT 恶意软件

执行摘要

朝鲜的国家资助威胁组织APT37（也称为ScarCruft或InkySquid）正在积极利用Facebook进行社交工程活动，以传播RokRAT远程访问木马。该行动涉及威胁行为者创建假档案以与特定个人建立信任，然后发送恶意链接。这一活动代表了该组织战术的持续演变，从利用公共漏洞转变为利用被破坏的社交媒体账户进行高度针对性的攻击。

技术分析

该活动是一个多阶段操作，始于Facebook上的社交工程。据The Hacker News分析，APT37操作者创建或破坏Facebook档案，通常伪装成记者、学者或其他专业人士。他们开始接触并与目标进行对话，以建立长期的关系。一旦建立了信任，攻击者就会发送一个链接，该链接通常托管在合法但被破坏的网站上，声称它通向相关的新闻文章或文件。

恶意链接最终传递RokRAT，这是一种复杂的模块化远程访问木马（RAT），长期以来与APT37有关联。RokRAT为攻击者提供了广泛的间谍活动和数据盗窃能力，包括文件系统操作、屏幕捕获和命令执行。链接的确切初始感染向量—无论是通过恶意文档、伪装的可执行文件还是其他机制—在可用来源中没有详细说明。使用被破坏的网站进行托管是故意尝试绕过基于声誉的安全过滤器。

入侵指标

目前没有识别出任何入侵指标。

战术、技术与程序

该活动展示了APT37的战术、技术和程序（TTPs）的明显进展。主要技术是社交工程（TA0041），特别是通过社交媒体平台使用网络钓鱼信息（T1598）。威胁行为者采用建立账户（T1585.001）在Facebook上创建假身份。一个关键的程序转变是从完全依赖利用公共面向应用程序（T1190）通过已知漏洞。相反，他们正在投入时间开发能力（T1587）用于人际互动和建立信任，以增加他们有效载荷传递的成功率，这种技术被称为网络钓鱼链接（T1598.003）。最终的有效载荷RokRAT属于远程访问软件（T1219）。

威胁行为者背景

APT37是一个被归因于朝鲜侦察总局（RGB）的网络间谍组织。该组织自2012年以来一直活跃，通常专注于针对韩国、日本以及其他对平壤具有战略利益地区的个人和组织的情报收集。历史上，APT37利用了Adobe Flash和Internet Explorer等流行软件中的零日和已知漏洞。这个基于Facebook的活动表明，该组织适应了威胁格局的变化，其中软件漏洞更难利用，社交平台提供了丰富的潜在目标。该组织的行动最终被认为支持朝鲜政权的战略情报和财务目标。

缓解措施与建议

组织和个人，特别是那些可能对朝鲜APT组织感兴趣的部门或地区的组织和个人，应实施以下缓解措施：

• **用户意识培训：**培训员工关于高级社交工程战术，强调威胁行为者可能会在社交媒体上进行长期的、低压力的互动，然后传递恶意链接。
• **社交媒体卫生：**建议高风险人员对来自Facebook等平台上未知个人的连接请求和未经请求的消息保持极度谨慎，即使档案看起来合法。
• **链接分析：**鼓励使用URL扫描服务或隔离环境检查通过社交媒体接收的链接，即使是来自看似可信的新联系人。
• **端点保护：**确保部署并配置强大的端点检测和响应（EDR）解决方案，以检测与RokRAT等RAT相关的行为，如不寻常的进程创建、持久性机制和网络回调到不熟悉的目的地。
• **网络监控：**监控出站网络流量，以连接到新注册或最近被破坏的域名，这些域名通常在这些活动中用于命令和控制（C2）。