珊瑚泥

众所周知，朝鲜政府使用黑客服务。最近，除了著名的Lazarus黑客组织之外，还出现了一个新演员，即ScarCruft APT（高级持久威胁）。该黑客组织也通常称为APT37。他们似乎主要针对高级韩国人。但是，恶意软件研究人员在中东以及越南和日本发现了APT31活动。 ScarCruft黑客组织可能已于2015年开始运营。

隐身偏好

ScarCruft集团倾向于在运营中特别注意隐身性。 APT37操作的另一个签名组件是从主机收集重要信息。黑客组织用来收集数据的主要工具之一是CORALDECK恶意软件。涉及CORALDECK工具的首个活动于2016年前几个月启动，并设法将其最高活动水平维持了四个多月。

针对特定的文件类型和文件名

CORALDECK威胁可以归类为信息窃取者。这个信息窃取者并不是一个非常复杂的威胁，ScarCruft黑客组织倾向于与其他黑客工具一起使用它，以实现最高效率。 CORALDECK信息窃取程序经过专门设计，可以查找不同的文件类型或具有特定名称的文件。这是一种完全不同的方法，因为大多数信息窃取工具的目标都是敏感信息，例如信用卡详细信息和登录凭据。 APT37小组使用的方法使恶意软件研究人员认为，攻击者可以浏览系统中的文件，选择他们想要获取的文件，然后使用CORALDECK工具获取目标数据。

存档收集的数据

在攻击期间，会向攻击者的服务器发出HTTP POST请求，这使CORALDECK信息窃取者可以使用硬编码提取技术来收集感兴趣的信息。一旦威胁设法检索到目标数据，它将被保存在.RAR或.ZIP存档文件中，该文件由密码保护。 CORALDECK还带有WinRAR存档软件的便携式可执行文件。

ScarCruft APT无疑是庞大的黑客工具库，他们针对高知名度人物的竞选活动无疑也使它成为现实。 APT37由北朝鲜政府提供资金这一事实应该引起世界各国政府的关注，因为这个黑客组织正日益受到越来越多的关注。