文章总结： APT37近期通过Facebook和Telegram发起定向攻击，使用木马化的WondersharePDFelement安装程序窃取国防目标数据。攻击采用社交工程手段，通过伪造军事文件诱饵引导受害者安装恶意软件，利用多阶段无文件执行链和ZohoWorkDrive云服务进行C2通信。关键发现包括进程注入、图像伪装payload和朝鲜关联的语言特征。防御建议部署基于行为的EDR监控进程链和未签名二进制文件活动。 综合评分： 85 文章分类： 威胁情报,恶意软件,渗透测试,社会工程学,漏洞分析

第二层解密使用4字节密钥重建去除MZ/PE签名的PE映像，映射并纯内存运行，完成一个完全无文件的多阶段执行链。

类似RokRAT的后门

最终有效载荷与APT37的RokRAT后门系列非常相似，后者具备系统侦察、命令执行和截图功能，且有滥用合法云服务用于C2的历史。

该恶意软件收集主机信息、运行进程、磁盘布局、公共IP和地理位置，并窃取截图、文档和手机音频录音，扩展名包括DOC、XLS、PPT、PDF、HWP、TXT、M4A和AMR。

命令与控制通过 Zoho WorkDrive 的 OAuth2 API 实现，多个客户端 ID、客户端秘密和刷新令牌被硬编码，以融入正常业务流量，类似于此前报道的 APT37 活动，使用 Zoho 作为隐形 C2。

收集到的数据在上传前会用AES-256-CBC加密，植入体还会检测特定安全产品，可以投放假冒的“OfficeUpdate.exe”更新器，并循环使用多个用户代理字符串以进一步混淆网络行为。

该活动的手法与APT37从HWP和LNK交付的RokRAT向云备份、无文件植入物和多阶段异或加密加载器的演变相符，包括多次滥用Zoho WorkDrive用于C2。

同一天创建的Facebook账号、韩语标记、基础设施重叠，以及历史上使用Zoho账号和朝鲜式诱饵，进一步支持了与朝鲜相关集群的归属。

鉴于大量使用被篡改的安装程序、进程注入签名二进制文件、云C2以及伪装成图像的有效载荷，仅签名控制不足;组织必须部署基于行为的EDR，并强力地围绕父子进程链遥测、未签名的“更新”二进制文件、可疑dism.exe活动。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈的那点事儿 网络安全9527 网络安全9527《APT37 利用 Facebook、Telegram 与木马化安装包发起新一轮定向网络攻击》