朝鲜 APT37被指发动软件供应链攻击，瞄准股票投资人

目前，该组织主要依靠钓鱼攻击如通过 Microsoft Office 文档来攻击受害者。APT37 目前利用多种方式如交付受污染的 Windows 安装程序和启用宏功能的 Office 文档攻击投资人。

本周，ESTsecurity 安全响应中心 (ESRC) 报道称，朝鲜黑客组织 APT37修改了一款私有的股票投资通讯应用程序，交付恶意代码。该组织使用 Nullsoft Scriptable Install System (NSIS)（Microsoft Windows 使用的一款流行的脚本驱动安装程序编辑工具）生成了一份 Windows 可执行文件。

这份可执行文件除了包含合法股票投资应用项目的合法文件外，还包含恶意代码。研究人员至少演示了攻击者使用的两种 “XSL Script Processing” 技术。在这款股票投资平台的合法安装程序中，攻击者注入特定命令，从恶意 FTP 服务器中提取恶意 XSL 脚本，并通过内置的 wmic.exe 工具在 Windows 系统中执行。

而这一操作后的安装程序被重新包装 Nullsoft 的 NSIS，会让人以为用户正在安装的是真正的股票投资应用，但实际上却在后台偷偷运行恶意脚本。攻击的下一步是执行 VBScript ，在 %ProgramData% 目录中创建名为 “OracleCache” 、“PackageUninstall” 和 “USODrive”的文件和文件夹。

之后该 payload 连接到托管在 frog.smtper[.]co 上的命令和控制服务器，接收其它命令。

在一个具有误导性的目录 “Office 365_\Windows\Office” 中创建一个恶意调度任务“activate”，该恶意软件通过指令 Windows Scheduler 每隔15分钟运行释放代码的方式实现可持久性。

威胁行动者对受感染系统进行侦察，并在初始筛查后再机器上部署远程访问木马（RAT）来进一步执行恶意活动。

研究人员还发现了Microsoft Office 文档如含有宏的 Excel 表格也在传播之前提到的 XSL 脚本 payload。

报告指出，“ESRC 关注到 Thallium 组织机构正在使用 ‘XSL Script Processing’ 技术不仅发动基于恶意文档的钓鱼攻击，而且还发动包括供应链攻击在内的利基攻击。”

研究人员指出，目前尚不清楚攻击者的攻击动机何在。不管是为了谋取钱财还是对交易人员实施监控，供应链攻击已成为当前的常见现象。

最近爆发的大规模 SolarWinds 攻击影响了超过1.8万个实体，其中不乏颇有声望的政府和非公开组织机构。

上个月，攻击者在一起供应链攻击中，通过攻击开源生态系统 RubyGems 的方式，在受感染机器中挖掘密币。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。