沙箱捕获！APT-Q-15利用地缘政治话题投递0day利用邮件

事件

奇安信威胁情报中心红雨滴团队最近在回滚沙箱数据时，发现了一封格式异常的eml邮件：

邮件标题为“《주요기사》 김정은원수님께서 이란이슬람공화국 제1부대통령에게 조전을 보내시였다”，翻译成中文为“《主要新闻》元帅向伊朗伊斯兰共和国第一副总统致电”，邮件正文内容如下：

中文翻译如下:

攻击者以半岛某国的视角向伊朗因意外事故去世的总统表示哀悼，邮件正文中还引用了某个报纸网站的文章链接。通过对0day触发代码进行解密，我们最终确认攻击者归属于我们多次在年报中[1][2]提到的APT-Q-15组织。

技术细节

       与以往东北亚组织将攻击代码嵌入到正文中不同，本次活动中APT-Q-15将XSS代码插入到EML格式文件中。

       当受害者在特定情境下打开邮件时瞬间触发利用代码，将Cookie上传到C2服务器上，攻击者可以快速的获取受害邮箱中的联系人和所有邮件。由于收件人被删除，我们无法得知具体的受害信息。但是APT-Q-15和APT37作为两个同一语种不同地区的威胁行为团体，攻击目标互为镜像。

威胁团体画像

APT37

APT-Q-15

攻击目标

中韩贸易人员和在中朝鲜人

中朝贸易人员和在韩国的中国企业

攻击手法

通用鱼叉

0day鱼叉

攻击节奏

持续社工寻求长期控制

攻击周期短，使用0day快速获取数据

TTP****水平

多段下载者，部分手法模仿APT-Q-15

首次使用多种类型的新技术绕过杀软

红雨滴沙箱迄今为止一共捕获了10多个的境外APT在野0day攻击活动,其中让我们印象深刻的是2022年和2024年东北亚地区针对移动端安卓平台的两个0day漏洞，如果去年针对iOS系统的Operation Triangulation为T0水平的攻击，那么东北亚地区针对安卓平台的攻击可以达到T1水平。

目前移动端杀毒软件的用户安装率呈下降趋势，针对该平台的高级威胁变得越来越难以检测。然而，与过去相比，针对移动端的攻击需求和攻击频率呈现上升趋势，这将不可避免地扩大攻防之间的差距。

红雨滴沙箱介绍

       红雨滴云沙箱是威胁情报中心红雨滴团队基于多年的APT高级攻防对抗经验、安全大数据、威胁情报等能力，使用软、硬件虚拟化技术开发实现的真正的“上帝模式”高对抗沙箱，协助奇安信威胁情报中心及相关安服和客户发现了多个在野0day漏洞攻击、nday漏洞攻击，和无数计的APT攻击线索及样本，是威胁情报数据产出的重要基石，并被业内权威威胁分析厂商VirusTotal所集成。

总结

目前，基于奇安信威胁情报中心的威胁情报数据的全线产品，包括奇安信威胁情报平台（TIP）、天擎、天眼高级威胁检测系统、奇安信NGSOC、奇安信态势感知等，都已经支持对此类攻击的精确检测。

IOC

有关APT-Q-15和APT37过去三年活动的商业报告请联系奇安信威胁情报中心（ti.qianxin.com）

参考链接

[1].https://ti.qianxin.com/uploads/2024/02/02/dcc93e586f9028c68e7ab34c3326ff31.pdf

[2].https://ti.qianxin.com/uploads/2023/03/20/396eaf4482e610119ce0cdcd7526c945.pdf

点击阅读原文至ALPHA 7.0

即刻助力威胁研判