事件大致如下,该组织在twitter上发布多条加密后的字符串,经鉴定为
AES CBC 256 , IV = {0x00,..,0x0F}
大约 5, 000 命令被解密, 其中一些在这里。북한 = 北朝鲜, 군차량 = 军用车, 안보 = 国家安全
http://www.probateproject[.]com/helper.jpg
http://www.wildrush[.]co.kr/bbs/data/image/user.jpg
http://www.acddesigns[.]com.au/clients/ACPRCM/you.jpg
此后,大致是该组织察觉解密算法已经暴露,因此改变了加密算法。
此外,该组织还有一些新动向
如下列这起利用CVE-2017-8291进行恶意hwp文档构造并投放的案例,最后会释放该组织的标志性远控 ROKRAT家族
详细IOC如下:
(제출용)신청서.hwp
a636cd2f1ba46a9af23f9c0a24f8ee4e
触发漏洞的EPS文件
BIN0001.eps
fced98d03bf14529be7ef8d2af8d9417
ROKRAT:
113637bc6f6f84d74ec2a4d0e988300b
今日推荐阅读:
360发布 蓝宝菇(APT-C-12)-核危机行动揭露
https://mp.weixin.qq.com/s/BmHQsiNIRdgmGBtsAPdjTQ