北韩国家赞助的威胁行为者 ScarCruft亦称为APT37、Ruby Sleet、Ricochet Chollima、InkySquid和RedEyes最近针对媒体机构及熟悉北韩事务的个人发起了一场新的攻击活动,报导指出此攻击使用了RokRAT后门。根据 The Hacker News 的报导,这些攻击包含发送伪装成北韩研究所成员的电子邮件,诱使目标打开一个包含恶意Windows快捷方式档案的ZIP压缩档。打开newslnk档案后,会执行shellcode,最终促使RokRAT的传递。
twitter梯子攻击者攻击手段目的ScarCruftRokRAT 后门获取战略情报及理解国际社会对北韩发展的看法不过,研究人员也注意到,目前尚未发现此类感染方法的积极使用。研究人员表示:ScarCruft依然致力于获取战略情报,并可能意图深入了解非公开的网络威胁情报及防御策略。这使得对手能更好地理解国际社会如何看待北韩的发展,从而影响北韩的决策过程。
