一个朝鲜黑客组织正在利用RokRat特洛伊木马发动新一轮针对韩国政府的攻势。

远程访问特洛伊木马（RAT）与利用韩国常用的韩语文字处理器进行攻击有关，特别是，朝鲜文Office文档（.HWP）的折衷。

在过去，本周的一篇博文，这家网络安全公司描述说，12月7日发现一个新的恶意文件上传到病毒道达尔。该样本文件声称是一份日期为2020年初的会议请求，表明在过去一年中发生了攻击。

Malwarebytes说，该文件的内容还表明它“被用来针对韩国政府”。

该文件没有遵循APT37的传统.HWP路径；相反，嵌入式宏使用VBA自解码技术将自身解码到microsoftoffice的内存中。这意味着恶意软件不必将自身写入磁盘，这可能是为了避免被发现。

一旦Microsoft Office遭到破坏，解包存根就会将RokRat的变体嵌入记事本软件。根据Malwarebytes的说法，这种技术可以轻松绕过“几种安全机制”。

“据我们所知，这对APT组来说是第一次，”Jazi说。

为了绕过Microsoft的安全机制，防止宏的动态执行，攻击者首先需要通过修改注册表值绕过VB对象模型（VBOM）。

恶意宏将检查VBOM是否可以访问，如果需要绕过VBOM注册表项，将尝试将其设置为1。根据检查的结果（例如，如果VBOM设置已被绕过），宏内容也可能会被模糊处理、取消闪烁，然后执行到内存中。

有效负载的主要功能是创建一个模块，在调用包含RokRat的Google驱动器上托管的加密文件之前，使用外壳代码破坏Notepad。

一旦部署在易受攻击的机器上，RokRat将集中精力从系统中获取数据，然后将其发送到攻击者控制的帐户，这些帐户使用基于云的服务，包括Pcloud、Dropbox、Box和Yandex。该恶意软件能够窃取文件、截图、捕获凭据和篡改文件目录。

RokRat是一种恶意软件变体，它还将通过检查沙盒和VMWare的存在、扫描调试软件并分析与Microsoft和iDefense相关的DLL来试图保持隐藏状态。

在相关的本周新闻，Trustwave研究人员最近发现了一个新的网络钓鱼活动https://www.zdnet.com/article/this-new-phishing-attack-uses-an-odd-lure-to-deliver-windows-特洛伊木马恶意软件/“target=”\u blank“>将QRat部署到Windows计算机。2015年首次发现，特洛伊木马具有高级别的混淆和远程访问功能。

以前的和相关的覆盖范围

• 完整的缩放指南：从基本帮助到高级技巧
  Twitter收购社区播客开发者Breaker

  在冠状病毒大流行期间，家长需要的所有家庭学校资源通过注册，您同意https://redventures.com/CMG-terms-of-use.html“target=”\u blank“rel=”noopener noreferrer nof