Palo Alto Networks的研究人員近期釋出了一篇關於NOKKI惡意軟體的報告，報告表示NOKKI和新發現的KONNI惡意軟體共用程式碼。儘管在此報告中沒有說明，NOKKI還與KimJongRAT木馬共享程式碼（該木馬由Cisco Talos的Paul Rascagnères於2013年發現）。在Palo Alto的另一份報告中，還公佈了NOKKI與朝鮮攻擊者APT37（又稱收割者或Group123）的關聯。 與NOKKI關聯的惡意文件會利用VBScript，下載一個新發現的名為Final1stspy的惡意軟體，該名稱是由程式內部的PDB字串得來的。據Palo Alto Networks指出，Final1stspy帶有2個元件，其中名為“LoadDLL”的exe檔案，其唯一目的就是載入一個名為“hadowexecute”的DLL payload。在收集完受感染機器的資訊後，一個名為“DOGCALL”（又稱ROKRAT）的惡意軟體會被下載，作為最終payload，這也成為NOKKI和APT37的關聯點之一

程式碼複用的關聯資訊

報告中所列出的Hash並不能在VirusTotal上查詢到該DLL payload元件的資訊，於是我們根據“LoadDll”的程式碼建立了一些YARA識別符號，並通過VirusTotal的Hunting功能進行匹配查詢。由於exe元件和DLL共用程式碼，通過YARA匹配，我們找到了Final1stspy的一個早期版本的DLL元件，檢測結果為2/67，編譯時間戳為2018年5月21日，首次上傳日期為2018年6月11日，這是一個早於Palo Alto報告中的版本。在獲取到“hadowexecute”DLL元件後，我們利用Intezer Analyze™系統來檢視其中是否有程式碼複用。

結論

Group123作為這些惡意軟體攻擊者的證據不僅僅體現在最終payload上，也體現在程式碼本身。程式碼複用也為KimJongRAT, KONNI, NOKKI, Final1stspy, ROKRAT和APT37之間的關聯提供了更多證據。

IOCs

Final1stspy

2011b9aa61d280ca9397398434af94ec26ddb6ab51f5db269f1799b46cf65a76 (DLL)

0669c71740134323793429d10518576b42941f9eee0def6057ed9a4ba87a3a9a (DLL)

fb94a5e30de7afd1d9072ccedd90a249374f687f16170e1986d6fd43c143fb3a (EXE)

Group 123 (FreeMilk / ROKRAT Samples)

99c1b4887d96cb94f32b280c1039b3a7e39ad996859ffa6dd011cf3cca4f1ba5

01045aeea5198cbc893066d7e496f1362c56a154f093d1a8107cecad8d4e4df2

26ad5f8889d10dc45dcf1d3c626416eb604f5fe4a7268e044f17a3ab6ff14e53

65ec544841dbe666d20de086495158128ddffb8b076ddb801a3f2dc250481135

7f35521cdbaa4e86143656ff9c52cef8d1e5e5f8245860c205364138f82c54df

ef40f7ddff404d1193e025081780e32f88883fa4dd496f4189084d772a435cb2