APT37

APT37 (التهديد المستمر المتقدم) هي مجموعة قرصنة من المحتمل أن تعمل من كوريا الشمالية. يتوقع الخبراء أن يتم تمويل APT37 من قبل حكومة كوريا الشمالية مباشرة. تُعرف مجموعة القرصنة هذه أيضًا باسم ScarCruft. حتى عام 2017 ، ركزت APT37 كل جهودها تقريبًا على أهداف تقع في كوريا الجنوبية. ومع ذلك ، في عام 2017 ، بدأت مجموعة القرصنة في توسيع نطاق وصولها وبدأت في إطلاق حملات في دول شرق آسيا الأخرى مثل اليابان وفيتنام. كان لـ APT37 أيضًا أهدافًا تقع في الشرق الأوسط. من المعروف أيضًا أن مجموعة القرصنة تتعاون مع جهات فاعلة أخرى سيئة التفكير.

تهدف APT37 إلى تعزيز مصالح كوريا الشمالية ، وبالتالي فإن أهدافها تميل إلى أن تكون بارزة. تميل مجموعة القرصنة إلى استهداف الصناعات المرتبطة بتصنيع السيارات ، والإنتاج الكيميائي ، والفضاء ، وما إلى ذلك.

طرق التكاثر

كان خبراء الأمن السيبراني يراقبون حملات APT37 وحددوا العديد من طرق الانتشار ، والتي غالبًا ما يتم تنفيذها:

• نشر البرامج الضارة عبر مواقع التورنت.
• إطلاق حملات التصيد بالرمح عبر البريد الإلكتروني.
• استخدام تقنيات الهندسة الاجتماعية المختلفة لخداع المستخدمين لتنزيل الملفات التالفة وتنفيذها.
• اختراق الخدمات والمواقع لاختطافها واستخدامها لنشر البرمجيات الخبيثة.

ترسانة أدوات APT37

APT37 هي مجموعة قرصنة لديها مجموعة متنوعة من الأدوات تحت تصرفها. من بين أدوات القرصنة الأكثر شيوعًا التي تستخدمها APT37:

• NavRAT ، أداة RAT أو حصان طروادة للوصول عن بُعد ، والذي يحتوي على قائمة طويلة من الميزات.
• CORALDECK ، تهديد يستخدم لجمع الملفات من المضيف المخترق.
• Karae ، حصان طروادة خلفي يجمع البيانات حول النظام المضيف ويمكّن المهاجمين من تحديد كيفية متابعة الهجوم.
• DOGCALL ، حصان طروادة مستتر ، يشبه RAT نظرًا لقدراته.
• ROKRAT ، جهاز RAT يمكنه تسجيل الصوت ، واختطاف بيانات اعتماد تسجيل الدخول ، وتنفيذ الأوامر عن بُعد ، وما إلى ذلك.
• ScarCruft Bluetooth Harvester ، تهديد قائم على نظام Android يُستخدم لجمع المعلومات من الجهاز المخترق.
• GELCAPSULE ، حصان طروادة يستخدم لزرع برامج ضارة إضافية على النظام المصاب.
• MILKDRO ، باب خلفي ، يعبث بسجل Windows لاكتساب المثابرة ويعمل بصمت شديد.
• SHUTTERSPEED ، حصان طروادة مستتر ، يمكنه التقاط لقطات شاشة ، وسحب المعلومات المتعلقة بالبرامج والأجهزة الخاصة بالمضيف ، ونشر برامج ضارة إضافية على النظام.
• RICECURRY ، جزء من التعليمات البرمجية المكتوبة بلغة JavaScript ، يتم حقنها في مواقع الويب التي تم الاستيلاء عليها وتستخدم للتحقق من بصمة المستخدمين الذين يزورون الصفحة لتحديد ما إذا كان يجب على المهاجمين تنفيذ البرامج الضارة أم لا.
• SLOWDRIFT ، أداة تنزيل أحصنة طروادة.
• RUHAPPY ، ممسحة قرص تستغل MBR (سجل التمهيد الرئيسي) لمحرك الأقراص الثابتة للمستخدم.
• ZUMKONG ، صانع معلومات متوافق مع متصفحات الويب Google Chrome و Internet Explorer.
• SOUNDWAVE ، أداة قادرة على تسجيل الصوت (عبر الميكروفون الموجود في النظام) ثم إرسال التسجيل إلى خادم C&C (القيادة والتحكم) للمهاجمين.

مجموعة القرصنة APT37 ليست واحدة لا يمكن الاستهانة بها بالتأكيد ، على الرغم من أنها ليست أكبر منظمة محتال إلكتروني في كوريا الشمالية. يواصلون توسيع ترسانة أدوات القرصنة الخاصة بهم وإطلاق حملات ضد أهداف بارزة في جميع أنحاء العالم حتى نواصل على الأرجح سماع تعاملاتهم.

APT37 فيديو

نصيحة: تشغيل الصوت ON ومشاهدة الفيديو في وضع ملء الشاشة.