文章总结： Genians安全中心披露APT37组织Artemis攻击活动，攻击者冒充编剧发送恶意HWP文档。该攻击利用OLE对象和DLL侧加载技术滥用合法工具以规避特征检测，最终加载多层加密的RoKRAT恶意载荷。建议部署EDR实时监控异常执行流程及Version.dll加载行为，以实现早期发现与防御。 综合评分： 86 文章分类： 威胁情报,恶意软件,漏洞分析

---

APT37:基于HWP的DLL侧加载攻击分析

Ots安全

2026年1月8日 13:01 广东

威胁简报

恶意软件

漏洞攻击

◈ 主要发现

1. 该威胁行为者冒充韩国电视节目的编剧，联系目标对象安排试镜或采访。

2. 通过简短的自我介绍和看似合法的说明来建立信任。

3. 攻击者散布伪装成面试前问卷或活动指南文档的恶意 HWP 文件。

4. 该攻击结合了初始 HWP 执行和 DLL 侧加载，以规避基于特征码的检测。

5. 通过 EDR 解决方案进行实时监控对于识别异常行为至关重要。

6. 概述

Genians 安全中心发现了 APT37 组织发起的“Artemis”攻击活动。攻击者以隐蔽的方式将恶意 OLE 对象嵌入到 HWP 文档中。当用户信任文档内容并点击超链接时，攻击链就会被触发。

[图 1-1] 攻击流程概述

当 OLE 对象加载后，攻击者使用伪装技术，首先启动一个合法进程。这种多阶段过程利用合法的执行流程来规避基于签名的安全解决方案的检测。随后，攻击者在合法进程的执行上下文中调用恶意 DLL 来执行有效载荷。

这种策略旨在通过将初始执行与权限提升巧妙结合来逃避检测。然而，端点检测与响应 (EDR) 解决方案可以通过异常检测规则识别此类异常执行流程。

在我们8月4日发布的题为“ RoKRAT Shellcode和隐写威胁：分析和EDR响应策略”的报告中，我们详细概述了APT37基于LNK快捷方式和基于HWP OLE的攻击案例。该分析还描述了在DLL侧加载阶段之后额外下载的图像文件中使用的隐写技术。

正如这些例子所示，威胁行为者继续在其基于 LNK 的策略之外使用恶意 HWP 文档，这凸显了提高用户意识的必要性。

此次攻击活动的特点是采用了一种检测规避策略，该策略利用合法进程、多阶段执行链以及将正常执行流程与恶意行为融合的复杂技术。尤其值得注意的是，在合法进程的上下文中运行恶意载荷会显著增加分析难度，从而使识别和应对更具挑战性。

总体而言，此次攻击展现了APT37持续开展高度发达的侦察和渗透活动的模式。这也表明该组织正通过利用先进技术手段不断提升自身能力。

2. 背景

10 月 27 日，总部位于美国的专门报道朝鲜的媒体 38 North 发表了一篇题为“ HWP 作为攻击面：Hancom 的韩文文字处理器对作为美国盟友的韩国的网络态势意味着什么”的报道。

报告指出，在韩国广泛使用的韩文文字处理器（HWP）文档格式实际上已成为一个固定的攻击面。报告还指出，朝鲜网络攻击者曾多次利用这种格式，试图渗透韩国政府、军队和关键工业网络。

在实践中，基于硬件漏洞利用程序（HWP）的攻击在韩国仍然时有发生。从攻击者的角度来看，恶意软件的行为会根据环境和条件随时改变，可用的攻击策略范围极其广泛。

因此，至关重要的是要查明正在使用的技术，并在此基础上加强应对能力，以应对类似的威胁。

因此，本威胁情报报告旨在对实际发生的攻击场景的背景和战术特征进行详细分析，提供制定适当应对措施所需的基础性见解。

3. 攻击进程

3-1. 隐写术 + DLL 侧加载

最初的入侵是通过鱼叉式网络钓鱼传播的HWP文档实现的。当嵌入在文档中的恶意OLE对象被执行时，最终使攻击者获得了对用户环境的初始访问权限。

此次攻击利用了多种技术，包括隐写术和DLL侧加载，来隐藏其执行流程。在侧加载阶段，攻击者滥用了微软Sysinternals的一个系统工具。攻击者将一个篡改过的恶意DLL放置在与可执行文件相同的目录下，导致程序误认为它是合法的DLL并将其加载。

自7月以来，攻击者已利用隐写术秘密部署了RoKRAT模块。尤其值得一提的是，已证实攻击者在8月使用了一张此前未曾报道过的肖像图像作为攻击手段。作为参考，图中所示的两张灰度图像与7月份发现的样本相对应。

[图 3-1] 隐写攻击中使用的照片

3-2. 攻击场景

本报告对8月至11月持续进行的APT攻击活动进行了全面分析，该活动始于8月发现的基于隐写术的新技术。通过对持续约4个月的鱼叉式网络钓鱼活动的调查，我们发现攻击者使用的恶意HWP文档是如何演变的，并且在每次迭代中变得越来越复杂。

【图 3-2】伪装成讨论邀请的鱼叉式网络钓鱼邮件

8月底，攻击者发送了一封伪装成参加朝鲜国会国际会议的官方邀请函的电子邮件，并冒充一位享有很高公众声誉的大学教授。邮件附件名为“북한의민간인납치문제해결을위한국제협력방안(국제세미나) (解决朝鲜平民绑架问题的国际合作战略（国际研讨会） .hwpx)”，并采用了与收件人兴趣领域相符的定向欺骗策略。

另一起类似案例中，攻击者冒充韩国一家主流广播节目的撰稿人，要求就朝鲜政权和人权问题进行采访。在多次建立信任的对话后，攻击者最终发送了一份恶意HWP文档。调查证实，攻击者未经授权使用了两名不同广播节目撰稿人的姓名，表明攻击者利用这种冒充行为来博取受害者的信任。

[图 3-3] 伪装成面试请求的鱼叉式网络钓鱼邮件

除了攻击者冒充大学教授或电视编剧的案例外，还发现多起事件中，攻击者伪造与特定评论或事件相关的文档。在这些基于硬件处理程序 (HWP) 的攻击中，攻击者将嵌入的 OLE 对象伪装成超链接，诱使用户执行该链接。

[图 3-4] OLE 超链接和目标文件

这些案件被评估为基于社会工程的威胁活动，通过滥用信誉良好的机构或专家的身份来增加联系可信度。

3-3. 战术重用

在冒充电视编剧的案例中，该演员在初步接触阶段并未使用恶意链接或附件，而是通过自然对话建立信任。经证实，该演员随后仅向回应其信息的人发送了伪装成采访邀请的恶意文件。

作为参考，早在 2023 年 6 月初就已发现使用同一广播公司撰稿人身份的攻击场景。当时，一个名为“북한이탈주민 초빙강의 (North Korean Defector Invited Lecture) .zip”的恶意压缩文件被分发，通过该文件安装的恶意软件揭示了以下 PDB（程序数据库）信息。

D:\Sources\MainWork\Group2017\Sample\Release\ DogCall.pdb

[表 3-1] 恶意软件中嵌入的 PDB 字符串

该 PDB 工件字符串此前曾在 2023 年 5 月 23 日发布的题为“ APT37 攻击案例冒充朝鲜人权组织”的报告中出现过。虽然现在很少见到 PDB 字符串，但来自同一恶意软件家族的过去样本反复揭示了各种类型的 PDB 路径。

D:\HighSchool\version 13\First-Dragon(VS2015)\Sample\Release\ DogCall.pdb
d:\HighSchool\version13\2ndBD\T+M\T+M\Result\ DocPrint.pdb
D:\HighSchool\version13\VC2008(Version15)\T+M\T+M\TMProject\Release\ ErasePartition.pdb
E:\Happy\Work\Source\version12\First-Dragon\Sample\Release\ DogCall.pdb
e:\Happy\Work\Source\version12\T+M\Result\ DocPrint.pdb

[表 3-2] 从相关家族的恶意软件中识别出的 PDB 字符串

有些情况下，先前使用的攻击策略会被修改或以相同形式重新使用。因此，系统地了解过去具有相似特征的战术、技术和程序（TTP）对于提高应对已知威胁的有效性至关重要，因为它能帮助我们深入了解威胁形势。

4. 详细分析

4-1. HWP结构分析

对真实攻击中使用的四个具有代表性的恶意硬件有效载荷（HWP）文档的根条目结构进行比较后发现，所有样本都在 BinData 存储中包含一个带有 OLE 对象的流。这种 OLE 嵌入方法是加载恶意有效载荷的典型模式。

[图 4-1] HWP 恶意软件样本内部结构比较

所有样本中嵌入的 OLE 对象都包含会在临时目录“%TEMP%”中创建名为“version.dll”的恶意模块的功能。

此外，根据具体的执行条件，还会生成一些伪装成不同名称的文件，例如“Volumeid1.exe”、“vhelp.exe”和“mhelp.exe”。所有这些文件都是合法的Sysinternals VolumeId实用程序。

这些可执行文件通过执行DLL 侧加载技术加载位于同一目录中的名为“version.dll”的恶意文件，从而使恶意库能够隐蔽地运行。

因此，仅依赖于EXE进程存在的模式检测方法无法有效识别此类威胁。所以，需要基于EDR的主动响应能力，在攻击链的早期阶段监控“version.dll”文件引入的位置，并实时检测异常行为。

这样就能及早发现初始入侵，并制定应对策略，提前阻止后续有效载荷的执行。

当时使用的一些 HWP 恶意文档通常在“作者”字段中记录“Hazard”，在“最后保存者”字段中记录“Artemis”。

[图 4-2] 恶意 HWP 文件的信息视图

根据这些指标，创建恶意 HWP 文档的威胁行为者被评估为使用了用户名“Artemis”，因此本报告采用“Artemis”作为其行动名称。

如前所述，在早期阶段识别威胁要素很困难，因为 HWP 文档调用的第一个可执行文件是合法的实用程序。

威胁行为者利用此检测漏洞执行 DLL 侧加载，以此悄悄加载恶意 DLL 模块并推进攻击。

4-2. DLL 文件分析

从 2025 年 10 月到 11 月，持续使用了用于 DLL 侧加载的“version.dll”文件。

此外，在多个样本中反复识别出相同的 PDB 字符串表明，这些活动可以被归类为同一行为者实施的持续威胁活动。

D:\Develop\ HwpOLE \HwpOLE\x64\Release\ version.pdb

[表 4-1] DLL 中嵌入的 PDB 字符串

[图 4-3] DLL 逻辑分析

“version.dll”文件使用重复的 XOR 模式和单个密钥值 (0xFA) 以加密形式隐藏其内部有效载荷。

根据环境的不同，它会选择标准的逐字节 XOR 方法或使用 SSE（流式 SIMD 扩展）一次处理 16 字节（128 位）的高速 XOR 方法来解密有效载荷。

这种方法是一种混淆和规避打包技术，旨在绕过基于签名的检测，同时提高解密速度。解密后的有效载荷以 64 位 DLL 的形式加载到内存中，并包含其自身的 PDB 字符串。

D:\Develop\ HwpOLE \HwpOLE\x64\Release\ common.pdb

[表 4-2] 解密有效载荷中包含的 PDB 字符串

该模块使用连续的 16 字节密钥 (0xF9) 通过异或运算解密内存中的加密块，然后转移控制权，明显表现出典型的 shellcode 加载器模式的特征。

[图 4-4] Shellcode 解密逻辑

一旦所有加密数据块成功解密，专为 x64 环境设计的完整功能 shellcode 就会激活。

该 shellcode 使用单个密钥 (0x29) 进行额外的 XOR 解密过程。激活后，该 shellcode 作为核心模块，执行最终有效载荷的功能，在攻击链的最后阶段实现实际的恶意行为。

[图 4-5] 最终有效载荷解密逻辑

通过这种多阶段解密过程最终激活的有效载荷，是属于 RoKRAT 家族的典型恶意工具。

5. 威胁归因

5-1. 涉及 APT37 集团的类似案例

Genians 安全中心此前发布了多份网络威胁情报 (CTI) 分析报告，详细介绍了 APT37 组织实施的重大网络行动。

交叉参考这些过去的活动，可以有效地识别该组织持续采用的战术、技术和程序 (TTP) 的特征，并能够更准确地了解该组织的行动模式与战略意图之间的关联。

RoKRAT Shellcode 和隐写术威胁：分析和 EDR 响应策略

• https://www.genians.co.kr/en/blog/threat_intelligence/rokrat_shellcode_steganographic?hsLang=en

对伪装成韩国国家安全战略智库的APT37攻击事件的分析（玩具盒行动）

• https://www.genians.co.kr/en/blog/threat_intelligence/toybox-story?hsLang=en

对通过 K Messenger 传播的“APT37”组织恶意硬件漏洞利用程序 (HWP) 案例的分析

• https://www.genians.co.kr/blog/threat_intelligence/k-messenger?hsLang=en

对APT37威胁行为者背后网络侦察活动的分析

• https://www.genians.co.kr/blog/threat_intelligence/apt37_recon?hsLang=en

警惕 APT37 组织发起的 RoKRAT 无文件攻击

• https://www.genians.co.kr/blog/threat_intelligence/rokrat?hsLang=en

伪装成文件的攻击，例如朝鲜市场价格报告

• https://www.genians.co.kr/blog/threat_intelligence/market?hsLang=en

韩国出现针对macOS用户的APT37攻击

• https://www.genians.co.kr/blog/threat_intelligence/_macos?hsLang=en

APT37攻击案：冒充朝鲜人权组织

• https://www.genians.co.kr/blog/threat_intelligence/apt37?hsLang=en

此外，尽管各种威胁情报报告反复指出 APT37 的活动，但通过媒体文章或特定出版物对外披露的案例仅代表该组织实际行动规模的一部分。

这种信息不对称可能导致组织或企业内部的安全团队低估APT37构成的威胁级别，从而造成严重的安全懈怠。仅仅依赖公开披露的信息难以准确评估该组织的实际行动范围、持久性和渗透能力。

像 APT37 这样的威胁行为者，会以战略性的方式长期、有组织地开展行动，他们很可能已经进行了大量的未被发现的入侵尝试、持续的 APT 行动以及以隐蔽方式进行的早期侦察活动。

因此，仅根据当前已识别的信息将威胁级别解释为低可能会扭曲安全运营团队如何确定响应优先级和定义其防御策略。

这会导致攻击面管理不善、监控能力减弱、威胁搜寻工作不足，最终为高度复杂的威胁组织提供长期渗透和数据窃取的机会。

鉴于以上原因，持续监控实施APT攻击的主要国家支持威胁组织，并提高威胁意识至关重要。最重要的是，组织必须保持警惕，防止安全麻痹大意。

5-2. 进攻战术评估

在本攻击案例中，发现了一种复杂的模式，其中滥用 HWP OLE 结构的感染载体与 DLL 侧加载和多阶段有效载荷加密和隐藏技术相结合。

这种战术组合被认为是蓄意设计的，其目的不仅在于逃避侦查，还在于从战略上增加分析的难度。

尤其值得注意的是，攻击框架的结构旨在仔细掩盖 RoKRAT 的执行路径，这表明威胁行为者一直在持续进行研发活动，以增强该工具的隐蔽性和持久性。

分析表明，攻击者通过诱使合法进程加载恶意 DLL 来规避基于行为的检测，同时对有效载荷进行多层加密，以最大限度地减少静态分析的入口点。

这并非简单的技术列表，而是一种系统设计的方法，考虑了整个攻击生命周期，展现了绕过现有检测机制的明确意图和技术成熟度。

这些技术的日益复杂表明，除了 RoKRAT 本身的功能增强之外，生态系统层面的演变也在进行，以改善其分布、隐蔽性和持久性。

这支持了这样一种评估：与 APT37 有关联的威胁行为者正在基于长期战略目标积累能力，而不是仅仅在孤立的行动单位内运作。

因此，此次攻击事件有力地表明，国家支持的威胁行为者不断改进其策略以逃避检测，类似的多层隐藏策略极有可能在未来的变种和后续攻击中得到更广泛的应用。

5-3. RoKRAT 基础设施调查

分析表明，在“阿尔忒弥斯行动”中发现的 C2 基础设施依赖于位于俄罗斯的 Yandex Cloud 作为核心节点。

这与 APT37 长期以来展现的战术模式相符，该组织不断推进其滥用 Dropbox、OneDrive、pCloud 和 Yandex Cloud 等合法商业云服务的战略，将 C2 流量伪装成正常的通信。

这些服务通过全球 CDN 基础设施提供稳定的可用性，并提供加密通信通道，因此非常适合威胁行为者用作逃避检测、匿名和阻碍地理追踪的基础设施。

尤其值得注意的是，APT37 采用了一种复杂的操作方法，将云存储服务重新利用，不仅用于上传或下载数据，而且作为多用途的 C2 通道，用于命令传递、结果收集、加密有效载荷托管和延时隐蔽行动。

这种滥用合法服务的行为是一种典型的威胁行为，它削弱了传统的基于 IP 的封锁或简单的流量过滤，并使区分恶意活动和正常用户流量变得更加复杂。

对攻击中使用的 RoKRAT 样本的分析发现了两个 Yandex 云基础设施账户令牌。一个创建于 2023 年 10 月，另一个创建于 2025 年 2 月，这表明攻击者通过长期更新和管理这些账户令牌来维持对 C2 服务器的访问权限。

Yandex Account Information #1

• y0__xCvwqD6BxiitDUgtK7BqRJKUd5n0zFOnE5JA1vpobhCHkgkZg
• philp.stwart
• 2025-02-20T05:29:09+00:00

Yandex Account Information #2

• y0__xCgjYyMBxjIhDUgqp2umhIg72AOcJ1RXdfk-fIWhJrHtL7_Iw
• tanessha.samuel
• 2023-10-19T07:09:54+00:00

7. 入侵指标 (IoC)

MD5

8e4a99315a3ef443928ef25d90f84a09

17171c644307b17d231ad404e25f08b1

31662a24560b3fe1f34f0733e65509ff

a196fb11a423076f66f5e4b2d02813a9

ad3433f5f64abdec7868a52341f14196

c0cac70c93d213d113001e3410c24fd2

d2b2c6646535a62e4c005613d6a036f0

e726b59f96ab8360f323469d72b8b617

ea95109b608841d2f99a25bd2646ff43

f13a4834e3e1613857b84a1203e2e182

f3603f68aadc8bc1ea8939132f0d5252

2f3dff7779795fc01291b0a31d723aca

7e8c24bb3b50d68227ff2b7193d548dd

d287dcaeaf17c9dae8a253994502ee58

END

公众号内容都来自国外平台-所有文章可通过点击阅读原文到达原文地址或参考地址

排版 编辑 | Ots 小安

采集 翻译 | Ots Ai牛马

公众号 | AnQuan7 (Ots安全)

---

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：Ots安全 《APT37:基于HWP的DLL侧加载攻击分析》