详细内容或原文请订阅后点击阅览
朝鲜的APT37在针对学者的新网络钓鱼运动中部署Rokrat
Scarcruft(APT37)推出了Hankook Phantom行动,这是一项使用Rokrat的网络钓鱼运动,以目标是学者,前官员和研究人员。网络安全公司Seqrite Labs发现了一场网络钓鱼运动,被朝鲜与朝鲜与朝鲜链接的集团APT37(aka Ricochet Chollima,Scarcruft,Reaper和Group123)所追踪的hankook Phantom行动。威胁行为者正在使用假的“国家情报研究学会新闻通讯[…]
来源:Security Affairs _恶意软件朝鲜的APT37在针对学者的新网络钓鱼运动中部署Rokrat
Pierluigi Paganini 2025年9月1日Scarcruft(APT37)推出了Hankook Phantom行动,这是一项使用Rokrat的网络钓鱼运动,以目标是学者,前官员和研究人员。
网络安全公司Seqrite Labs发现了一场网络钓鱼运动,被朝鲜与朝鲜有联系的APT37集团(又名Ricochet Chollima,Scarcruft,Reaper,Reaper和Group123)所追踪为汉库·幻影行动。
APT37 Scarcruft group123威胁参与者正在使用伪造的“国家情报研究协会新闻通讯 - 第52期” PDF和一个伪装的恶意LNK文件。执行后,LNK下载有效载荷或执行命令,从而损害了系统。
该活动中使用的最后一阶段恶意软件是Rokrat恶意软件,据信这是APT37的手工作品。
rokrat恶意软件“被伪装成新闻通讯的恶意LNK文件触发了多个阶段的Rokrat感染。嵌入式PowerShell提取物有效载荷,丢弃诱饵PDF,并执行批次脚本,导致无内存性内部执行通过XOR dececoded Binaries进行binaries。读取Seqrite Labs发布的报告。 “恶意软件捕获屏幕截图,并支持命令,以进行远程执行,数据盗窃和恶意软件控制。恶意代码通过Dropbox,Pcloud和Yandex与C2服务器通信以删除数据并部署进一步的有效载荷。”
报告该运动针对学者,前政府官员和与协会相关的研究人员。该活动的目标是数据盗窃,持久性和间谍活动。
APT37(Scarcruft/InkySquid)“总的来说,Hankook Phantom行动展示了朝鲜国家赞助的演员构成的持续威胁,强化了对主动监控的需求,对基于LNK的交付的高级发现以及对滥用指挥和控制云服务的警惕。”
零日漏洞 Adobe Flash Player 操作 @securityaffairs