APT37

APT37 (Advanced Persistent Threat) és un grup de pirates informàtics que és probable que operi des de Corea del Nord. Els experts especulen que l'APT37 pot ser finançat directament pel govern de Corea del Nord. Aquest grup de pirateria també es coneix com ScarCruft. Fins al 2017, APT37 va concentrar gairebé tots els seus esforços en objectius ubicats a Corea del Sud. No obstant això, el 2017, el grup de pirateria va començar a ampliar el seu abast i va començar a llançar campanyes a altres estats de l'est asiàtic com el Japó i el Vietnam. L'APT37 també ha tingut objectius localitzats a l'Orient Mitjà. També se sap que el grup de pirates informàtics col·labora amb altres actors malintencionats.

L'APT37 està pensat per afavorir els interessos de Corea del Nord i, per tant, els seus objectius tendeixen a ser d'alt perfil. El grup de pirateria tendeix a orientar-se a indústries vinculades a la fabricació d'automòbils, producció química, aeroespacial, etc.

Mètodes de propagació

Els experts en ciberseguretat han estat observant les campanyes d'APT37 i han descrit diversos mètodes de propagació, que sovint s'implementen:

• Difusió de programari maliciós a través de llocs web de torrent.
• Llançament de campanyes de correu electrònic de spear phishing.
• Ús de diverses tècniques d'enginyeria social per enganyar els usuaris perquè baixin i executin fitxers danyats.
• Infiltrar serveis i llocs web per segrestar-los i utilitzar-los per difondre programari maliciós.

Arsenal d'eines d'APT37

APT37 és un grup de pirateria informàtica amb una gran varietat d'eines a la seva disposició. Entre les eines de pirateria més populars utilitzades per APT37 es troben:

• NavRAT, un troià RAT o d'accés remot, que inclou una llarga llista de funcions.
• CORALDECK, una amenaça que s'utilitza per recollir fitxers de l'amfitrió compromès.
• Karae, un troià de porta posterior que recopila dades sobre el sistema amfitrió i permet als atacants determinar com procedir amb l'atac.
• DOGCALL, un troià de porta del darrere, que s'assembla a un RAT per les seves capacitats.
• ROKRAT , una RAT que pot gravar àudio, segrestar les credencials d'inici de sessió, executar ordres remotes, etc.
• ScarCruft Bluetooth Harvester, una amenaça basada en Android que s'utilitza per recopilar informació del dispositiu compromès.
• GELCAPSULE, un troià que s'utilitza per plantar programari maliciós addicional al sistema infectat.
• MILKDRO, una porta del darrere, que manipula el Registre de Windows per guanyar persistència i funciona molt silenciosament.
• SHUTTERSPEED, un troià de porta posterior, que pot fer captures de pantalla, desviar informació sobre el programari i el maquinari de l'amfitrió i desplegar programari maliciós addicional al sistema.
• RICECURRY, un fragment de codi escrit en JavaScript, que s'injecta en llocs web segrestats i s'utilitza per comprovar l'empremta digital dels usuaris que visiten la pàgina per determinar si els atacants haurien d'executar el programari maliciós o no.
• SLOWDRIFT, un programa de baixada de troià.
• RUHAPPY, un netejador de disc que explota l'MBR (Master Boot Record) del disc dur de l'usuari.
• ZUMKONG, un robatori d'informació compatible amb els navegadors web Google Chrome i Internet Explorer.
• SOUNDWAVE, una eina, que és capaç d'enregistrar àudio (a través del micròfon present al sistema) i després enviar l'enregistrament al servidor C&C (Command & Control) dels atacants.

El grup de pirates informàtics APT37 no s'ha de subestimar sens dubte, tot i que no és la principal organització ciberdelinqüent de Corea del Nord. Continuen ampliant el seu arsenal d'eines de pirateria i llançant campanyes contra objectius d'alt perfil a tot el món, de manera que probablement seguirem escoltant sobre els seus tractes.

APT37 Vídeo

Consell: activa el so i mira el vídeo en mode de pantalla completa .