APT37
APT37 (Advanced Persistent Threat) е хакерска група, която вероятно ще работи от Северна Корея. Експертите спекулират, че APT37 може да бъде финансиран директно от правителството на Северна Корея. Тази хакерска група е известна още като ScarCruft. До 2017 г. APT37 концентрира почти всичките си усилия върху цели, разположени в Южна Корея. Въпреки това, през 2017 г. хакерската група започна да разширява обхвата си и започна да стартира кампании в други източноазиатски държави като Япония и Виетнам. APT37 също има цели, разположени в Близкия изток. Известно е също, че хакерската група си сътрудничи с други злонамерени актьори.
APT37 е предназначен да допринесе за интересите на Северна Корея и по този начин техните цели обикновено са високопрофилни. Хакерската група има тенденция да се насочи към индустрии, свързани с автомобилостроенето, химическото производство, космическата индустрия и др.
Съдържание
Методи за размножаване
Експертите по киберсигурност наблюдават кампаниите на APT37 и са очертали няколко метода за разпространение, които често се прилагат:
- Разпространение на зловреден софтуер чрез торент уебсайтове.
- Стартиране на имейл кампании за фишинг.
- Използване на различни техники за социално инженерство, за да подмами потребителите да изтеглят и изпълняват повредени файлове.
- Проникване в услуги и уебсайтове, за да ги отвлече и да ги използва за разпространение на зловреден софтуер.
Арсеналът от инструменти на APT37
APT37 е хакерска група с голямо разнообразие от инструменти на разположение. Сред по-популярните инструменти за хакване, използвани от APT37, са:
- NavRAT, троянски кон RAT или отдалечен достъп, който съдържа дълъг списък от функции.
- CORALDECK, заплаха, използвана за събиране на файлове от компрометирания хост.
- Karae, бекдор троянски кон, който събира данни за хост системата и позволява на нападателите да определят как да продължат с атаката.
- DOGCALL, бекдор троянски кон, който наподобява RAT поради своите възможности.
- ROKRAT , RAT, който може да записва аудио, да отвлича идентификационни данни за влизане, да изпълнява отдалечени команди и т.н.
- ScarCruft Bluetooth Harvester, заплаха, базирана на Android, която се използва за събиране на информация от компрометираното устройство.
- GELCAPSULE, троянски кон, който се използва за засаждане на допълнителен зловреден софтуер в заразената система.
- MILKDRO, бекдор, който подправя регистъра на Windows, за да получи постоянство и работи много тихо.
- SHUTTERSPEED, бекдор троянски кон, който може да прави екранни снимки, да извлича информация относно софтуера и хардуера на хоста и да внедрява допълнителен зловреден софтуер в системата.
- RICECURRY, част от код, написана на JavaScript, която се инжектира в отвлечени уебсайтове и се използва за проверка на пръстовия отпечатък на потребителите, посещаващи страницата, за да се определи дали нападателите трябва да изпълнят злонамерения софтуер или не.
- SLOWDRIFT, програма за изтегляне на троянски кон.
- RUHAPPY, дискова чистачка, която използва MBR (Master Boot Record) на твърдия диск на потребителя.
- ZUMKONG, крадец на информация, който е съвместим с уеб браузърите Google Chrome и Internet Explorer.
- SOUNDWAVE, инструмент, който е в състояние да записва аудио (чрез микрофона, присъстващ в системата) и след това да изпраща записа до C&C (Command & Control) сървър на нападателите.
Хакерската група APT37 със сигурност не е от тези, които трябва да бъдат подценявани, въпреки че не са водещата организация за кибер мошеници в Северна Корея. Те продължават да разширяват своя арсенал от хакерски инструменти и да стартират кампании срещу високопоставени цели по целия свят, така че вероятно ще продължим да слушаме за техните сделки.
APT37 видео
Съвет: Вклучите звука игледайте видеото в режим на цял екран.