NavRAT

Die APT37 (Advanced Persistent Threat) ist eine Hacking-Gruppe, die es schon seit einiger Zeit gibt und von der angenommen wird, dass sie mit der nordkoreanischen Regierung zusammenarbeitet (obwohl diese Information noch mit voller Sicherheit bestätigt werden muss). Die meisten Ziele der APT37- Gruppe sind in Südkorea konzentriert und zehn eher hochkarätig. Kürzlich hat der APT37 Spear-Phishing-E-Mails verwendet, um eine Bedrohung namens NavRAT (Remote Access Trojan) zu verbreiten. Malware-Forscher halten die von den Angreifern verwendete Übermittlungsmethode für ziemlich faszinierend. Es ist auch interessant darauf hinzuweisen, dass die in den Kampagnen mit NavRAT verwendete Infrastruktur nicht sehr konventionell ist.

Weitergabe über Spear-Phishing-E-Mails

Die oben genannten Spear-Phishing-E-Mails enthalten einen infizierten Anhang in Form einer ".HWP" -Datei. Diese beschädigte Datei heißt "Prospects for US-North Korean Summit". Das PostScript-Dokument (Document Structuring Conventions-conforming, DSC), in diesem Fall ein EPS-Layout (Encapsulated PostScript), packt einen verschleierten Shellcode, der nur ausgeführt wird, wenn alle Anforderungen erfüllt sind. Sobald die Bedrohung aktiv ist, wird sichergestellt, dass eine Verbindung zum Server der Betreiber (in Südkorea) hergestellt wird und die Hauptschadsoftware abgerufen wird, die die Angreifer in diesem Fall auf den Host übertragen möchten , NavRAT.

Erhält Ausdauer und arbeitet geräuschlos

Der NavRAT-Trojaner fügt seine Dateien in den Ordner '% PROGRAMDATA% \ AhnLab' ein. Die fraglichen Daten werden in einer Datei mit dem Namen "GoogleUpdate.exe" gespeichert. Da sich die Ziele des APT37 in Südkorea befinden, haben sich die Angreifer für den Namen AhnLab entschieden, da dieser üblicherweise mit einem in der Region bekannten Cybersicherheitsunternehmen in Verbindung gebracht wird. Wenn der NavRAT einen Host erfolgreich infiltriert, stellt er auch sicher, dass er auf dem gefährdeten System persistent wird. Dazu wird ein Registrierungsschlüssel generiert, mit dem Windows angewiesen wird, den NavRAT-Trojaner bei jedem Neustart des Systems auszuführen. Um die Wahrscheinlichkeit zu minimieren, dass ihre Bedrohung entdeckt wurde, hat APT37 legitime ausgeführte Prozesse als Hosts für ihren beschädigten Code verwendet.

Der NavRAT unterstützt die meisten RAS-Trojaner:

• Remote-Befehle ausführen.
• Sammeln Sie Tastenanschläge.
• Dateien herunterladen und ausführen.
• Dateien hochladen und ausführen.

Der NavRAT-Trojaner kommuniziert mit seinen Betreibern per E-Mail

Anstatt jedoch die normale Kommunikationsmethode zwischen Bedrohung und Remote-C & C-Server (Command & Control) zu verwenden, kommuniziert der NavRAT mit seinen Betreibern über E-Mail-Anhänge. Der von der APT37-Hacking-Gruppe verwendete E-Mail-Dienst heißt Naver und ist in Südkorea recht beliebt. Die Autoren des NavRAT-Trojaners haben sichergestellt, dass Anmeldeinformationen und E-Mail-Adresse auf jeder einzelnen Kopie der Bedrohung, die verbreitet wird, angegeben sind. Die NavRAT-Bedrohung empfängt auch die Nutzlast zusätzlicher Malware über E-Mail-Anhänge.

Der legitime E-Mail-Dienst, den die bösartigen Schauspieler nutzen, hat seitdem die Konten von zwielichtigen Personen beschnüffelt und geschlossen, da sie nicht nur die Verantwortung haben, ihre Kunden zu schützen, sondern auch mit einer hochkarätigen nordkoreanischen Hacking-Gruppe in Verbindung gebracht werden ist kein guter rep genau.