朝鲜国家资助的黑客 APT37 被发现针对专门研究朝鲜的记者，并带有一种新型恶意软件。

该恶意软件是通过 NK News 首次发现的网络钓鱼攻击传播的，NK News 是一家美国新闻网站，致力于利用国内情报报道朝鲜新闻并提供有关朝鲜的研究和分析。

APT37 黑客组织，又名 Ricochet Chollima，据信是由朝鲜政府赞助的，朝鲜政府将新闻报道视为一种敌对行动，并试图利用这次攻击来获取高度敏感的信息并可能识别记者的来源

在NK News 发现攻击后，他们联系了 Stairwell的恶意软件专家 寻求进一步帮助，他们接管了技术分析。

Stairwell 发现了一个名为“Goldbackdoor”的新恶意软件样本，该样本被评估为“Bluelight”的继任者。

值得注意的是，这并不是 APT37 第一次与针对记者的恶意软件活动相关联，最近的 一次是 2021 年 11 月的一份报告，该报告 使用了高度可定制的“Chinotto”后门。

复杂感染
网络钓鱼电子邮件源自韩国国家情报局 (NIS) 前局长的账户，该账户曾被 APT37 入侵。

具有高度针对性的活动采用了两阶段感染过程，为威胁参与者提供了更多的部署多功能性，并使分析人员难以对有效载荷进行采样。

两阶段感染过程 （楼梯间）
发送给记者的电子邮件包含一个下载 ZIP 档案的链接，该档案包含 LNK 文件，均名为“Kang Min-chol edits”。姜敏哲是朝鲜矿业部长。

LNK 文件（Windows 快捷方式）伪装成文档图标，并使用填充人为地将其大小增加到 282.7 MB，从而阻碍了轻松上传到 Virus Total 和其他在线检测工具。

执行后，PowerShell 脚本会启动并打开一个诱饵文档 (doc) 以分散注意力，同时在后台解码第二个脚本。

诱饵文档包含托管在 Heroku 平台上的嵌入式外部图像，该图像会在查看文档时提醒威胁参与者。

文档中的嵌入式跟踪器链接 （楼梯间）
第二个脚本下载并执行存储在 Microsoft OneDrive 上的 shellcode 有效负载，这是一种合法的基于云的文件托管服务，不太可能生成 AV 警报。

这个有效载荷被称为“幻想”，根据 Stairwell 的说法，它是 Goldbackdoor 的两种部署机制中的第一种，都依赖于隐秘的进程注入。

Goldbackdoor 恶意软件
Goldbackdoor 作为 PE 文件（便携式可执行文件）执行，可以远程接受基本命令并窃取数据。

为此，它附带了一组 API 密钥，用于向 Azure 进行身份验证并检索执行命令。这些命令与键盘记录、文件操作、基本 RCE 以及自行卸载的能力有关。

该恶意软件利用合法的云服务来窃取文件，Stairwell 注意到 Google Drive 和 Microsoft OneDrive 的滥用。

Goldbackdoor针对的文件主要是文档和媒体，如PDF、DOCX、MP3、TXT、M4A、JPC、XLS、PPT、BIN、3GP和MSG。

虽然这是一场针对性很强的活动，但Stairwell 的技术报告中提供的发现、暴露以及由此产生的检测规则和文件哈希 对于信息安全社区来说仍然很重要。