APT37

APT37 (Advanced Persistent Threat) е хакерска група, която вероятно ще работи от Северна Корея. Експертите спекулират, че APT37 може да бъде финансиран директно от правителството на Северна Корея. Тази хакерска група е известна още като ScarCruft. До 2017 г. APT37 концентрира почти всичките си усилия върху цели, разположени в Южна Корея. Въпреки това, през 2017 г. хакерската група започна да разширява обхвата си и започна да стартира кампании в други източноазиатски държави като Япония и Виетнам. APT37 също има цели, разположени в Близкия изток. Известно е също, че хакерската група си сътрудничи с други злонамерени актьори.

APT37 е предназначен да допринесе за интересите на Северна Корея и по този начин техните цели обикновено са високопрофилни. Хакерската група има тенденция да се насочи към индустрии, свързани с автомобилостроенето, химическото производство, космическата индустрия и др.

Методи за размножаване

Експертите по киберсигурност наблюдават кампаниите на APT37 и са очертали няколко метода за разпространение, които често се прилагат:

• Разпространение на зловреден софтуер чрез торент уебсайтове.
• Стартиране на имейл кампании за фишинг.
• Използване на различни техники за социално инженерство, за да подмами потребителите да изтеглят и изпълняват повредени файлове.
• Проникване в услуги и уебсайтове, за да ги отвлече и да ги използва за разпространение на зловреден софтуер.

Арсеналът от инструменти на APT37

APT37 е хакерска група с голямо разнообразие от инструменти на разположение. Сред по-популярните инструменти за хакване, използвани от APT37, са:

• NavRAT, троянски кон RAT или отдалечен достъп, който съдържа дълъг списък от функции.
• CORALDECK, заплаха, използвана за събиране на файлове от компрометирания хост.
• Karae, бекдор троянски кон, който събира данни за хост системата и позволява на нападателите да определят как да продължат с атаката.
• DOGCALL, бекдор троянски кон, който наподобява RAT поради своите възможности.
• ROKRAT , RAT, който може да записва аудио, да отвлича идентификационни данни за влизане, да изпълнява отдалечени команди и т.н.
• ScarCruft Bluetooth Harvester, заплаха, базирана на Android, която се използва за събиране на информация от компрометираното устройство.
• GELCAPSULE, троянски кон, който се използва за засаждане на допълнителен зловреден софтуер в заразената система.
• MILKDRO, бекдор, който подправя регистъра на Windows, за да получи постоянство и работи много тихо.
• SHUTTERSPEED, бекдор троянски кон, който може да прави екранни снимки, да извлича информация относно софтуера и хардуера на хоста и да внедрява допълнителен зловреден софтуер в системата.
• RICECURRY, част от код, написана на JavaScript, която се инжектира в отвлечени уебсайтове и се използва за проверка на пръстовия отпечатък на потребителите, посещаващи страницата, за да се определи дали нападателите трябва да изпълнят злонамерения софтуер или не.
• SLOWDRIFT, програма за изтегляне на троянски кон.
• RUHAPPY, дискова чистачка, която използва MBR (Master Boot Record) на твърдия диск на потребителя.
• ZUMKONG, крадец на информация, който е съвместим с уеб браузърите Google Chrome и Internet Explorer.
• SOUNDWAVE, инструмент, който е в състояние да записва аудио (чрез микрофона, присъстващ в системата) и след това да изпраща записа до C&C (Command & Control) сървър на нападателите.

Хакерската група APT37 със сигурност не е от тези, които трябва да бъдат подценявани, въпреки че не са водещата организация за кибер мошеници в Северна Корея. Те продължават да разширяват своя арсенал от хакерски инструменти и да стартират кампании срещу високопоставени цели по целия свят, така че вероятно ще продължим да слушаме за техните сделки.

APT37 видео

Съвет: Вклучите звука игледайте видеото в режим на цял екран.