APT-C-28（ScarCruft）组织又名APT37（Reaper）、Group123，是一个来自于东北亚地区的境外APT组织，其相关攻击活动最早可追溯到2012年，且至今依然保持活跃状态。APT-C-28组织主要针对韩国等亚洲国家进行网络攻击活动，针对包括化学、电子、制造、航空航天、汽车和医疗保健等多个行业，其中以窃取战略军事、政治、经济利益相关的情报和敏感数据为主。

近期，360高级威胁研究院捕获到APT-C-28（ScarCruft）组织的一起以能源方向诱饵文件投递Rokrat后门木马的攻击活动，攻击者投递内嵌恶意代码和PDF文档的LNK文件，LNK文件运行后从第三方云服务中下载Rokrat后门注入到PowerShell中运行。Rokrat木马是APT-C-28组织武器化后门软件，Rokrat木马可具备获取计算机敏感信息、上下发文件运行、捕获屏幕截图和键盘输入等功能，且惯用云储存API实现后门指令和文件的下发。

一、受影响情况

攻击者以Sharara到Mellitah 石油管道信息向目标人员进行投递，该石油管道位于利比亚承担从利比亚Wadi al-Hayaa区到利比亚Nuqat al Khams区的石油输送任务。

二、攻击活动分析

1.攻击流程分析

完整的攻击流程如下：

2.恶意载荷分析

攻击者于LNK文件中填充了大量垃圾数据使得文件达到40MB+大小，并在LNK文件中内嵌诱饵PDF文档使用PowerShell对PDF文件进行落地并打开。

LNK文件运行后其中内嵌的恶意代码会从LNK文件中分别定位PDF文档和BAT文件数据先后将其落地到%temp%文件夹内执行。

BAT文件写入的是用于下载Rokrat主体文件的恶意代码。

恶意代码从OneDrive中下载Rokrat木马主体数据进行异或解密后将其加载至内存中运行。

释放的PDF诱饵文档。

扫描的文档经过标注增加诱饵文件可信度。

3.攻击组件分析

由OneDrive中下载执行的Rokrat木马与以往APT-C-28组织中攻击活动中所使用的基本变化不大。利用公共云盘进行指令通行、文件下发上传，获取计算机名称、用户名、BIOS、系统版本等敏感信息，以及通过判断vmtoolsd版本用来确定是否在虚拟环境。

攻击者在样本中搭载了pcloud、Yandex、Dropbox等三个云盘的API利用方法以及要使用的云盘token。

确认token有效后使用API从云盘指定目录获取后门指令信息用于攻击指令下发。

后门指令以及对应后门功能。

三、归属研判

此处捕获的Rokrat木马与以往披露的Rokrat版本变化不大，从文件命名、代码结构以及后门功能都变化不大。网络行为中更是沿用了以往惯用Content-Type信息。

以往报告所披露的Rokrat木马中使用的Content-Type字段信息。

附录IOC

85e71578ad7fea3c15095b6185b14881

4D3464B23DD4FB141C8FCC4CBF541832

7B7C43ED1EB6A423BDCFD0484FE560C3

2C180BF7A1E6DBE84060C3B5AA53FEB7（PDF）

4FE698C235D03A271305DB8FFDAA9E36（OneDrive下载密文）

https://api.onedrive.com/v1.0/shares/u!aHR0cHM6Ly8xZHJ2Lm1zL3UvcyFBalFOTHZFRV9DVU9iUFdnLXhPZG8xRXFYckU_ZT1BM1QwV2Q/root/content

参考链接

https://www.cisa.gov/news-events/analysis-reports/ar20-133d