朝鲜报告：新恶意软件攻击与Word宏相关安全隐患

来自网络间谍世界的新发现的恶意软件连接了据信代表朝鲜政府行事的鲜为人知的收割者组织的工具和操作之间的点。

最新调查结果表明，KONNI和DOGCALL系列中的远程访问特洛伊木马（RAT）是同一个运营商的工作，负责韩国军事和国防工业中的间谍组织，这是一个在中东开展业务的实体。与欧洲的平壤和政治动机的受害者。

NK是KONNI和NOKKI RAT的共同基础

来自Palo Alto Network 42单元的安全研究人员最近发布了对NOKKI的分析，NOKKI是一个新的RAT，因为与 同类型的KONNI威胁存在重大代码重叠，最初发现了Cisco Talos。

在NOKKI分析期间，研究人员发现使用此RAT的最新攻击始于7月，依靠恶意Microsoft Word文档诱使受害者部署恶意软件。

这是常见的策略，但用于避免检测的技术是特别的，因为“它首先将base64编码的文本转换为十六进制，然后将该十六进制转换为文本字符串”。

这种独特的逃避检测方法存在于42单元样本库中的另一个恶意文档中，创建日期为3月19日，最后一次修改发布于6月16日。

它的名字是'World Cup predictions.doc'，它内部的宏代码运行与有效载荷交付相同的反混淆程序，就像放弃NOKKI RAT的宏一样。

第42单元发现新的恶意宏代码样本下载并执行了VBScript，并包含了可以附加到向受害者显示的Microsoft文件的两个文本：一个是ESPN关于世界杯预测的文章的摘录;另一篇文章是一篇详细介绍最高领导人访问新加坡的文章。

用宏下载DOGCALL RAT的Word文档

如果诱饵工作且受害者打开文档并启用宏代码，他们会读取两个文本中的一个，就好像它是一个常规文档，就像下图中所示，而DOGCALL RAT下载并安装在后台。

宏代码显示诱饵文本，而RAT安装在后台

为旧RAT找到新的滴管

如果NOKKI或KONNI过去没有归咎于朝鲜的行动，DOGCALL一直与平壤领导的网络活动有关，更具体地说是与Reaper集团有关，也称为APT37，Group123，FreeMilk，StarCruft，Operation Daybreak and Operation埃里伯斯。

在“世界杯预测”文件中解开宏观使用的反混淆和下载程序时，研究人员还注意到之前没有报告的恶意软件滴管，他们称之为Final1stspy。

Final1stspy提供的最终有效载荷来自DOGCALL系列，它可以截取屏幕截图，记录击键，泄露文件，下载和执行其他有效负载或通过计算机的麦克风捕获音频。

第42单元的研究为朝鲜网络间谍行动谜题添加了新的内容，并表明即使是民族国家的演员也犯了错误，导致揭露作者背后的恶意工具，或者至少将其置于同一个运营商之下。

最近，安全研究人员使用有关已经归于朝鲜网络间谍企业的工具的信息，建立了一个恶意软件家族树，显示2009年和2017年之间的各种业务如何相互连接，其中一些业务未分配给平壤政府。

（作者：区块链安全档案，内容来自链得得内容开放平台“得得号”；本文仅代表作者观点，不代表链得得官方立场）