APT37

APT37 (Advanced Persistent Threat) er en hackergruppe, der sandsynligvis vil operere fra Nordkorea. Eksperter spekulerer i, at APT37 kan blive finansieret af den nordkoreanske regering direkte. Denne hackergruppe er også kendt som ScarCruft. Indtil 2017 koncentrerede APT37 næsten al deres indsats om mål beliggende i Sydkorea. I 2017 begyndte hackergruppen dog at udvide deres rækkevidde og begyndte at lancere kampagner i andre østasiatiske stater som Japan og Vietnam. APT37 har også haft mål placeret i Mellemøsten. Hackinggruppen er også kendt for at samarbejde med andre dårligt sindede aktører.

APT37 er beregnet til at fremme nordkoreanske interesser, og derfor har deres mål en tendens til at være højprofilerede. Hackinggruppen har en tendens til at målrette mod industrier knyttet til bilproduktion, kemisk produktion, rumfart osv.

Formeringsmetoder

Cybersikkerhedseksperter har observeret APT37s kampagner og har skitseret flere udbredelsesmetoder, som ofte implementeres:

  • Spredning af malware via torrent-websteder.
  • Lancering af spear-phishing e-mail-kampagner.
  • Brug af forskellige social engineering-teknikker til at narre brugere til at downloade og eksekvere beskadigede filer.
  • Infiltrerende tjenester og websteder for at kapre dem og bruge dem til at sprede malware.

APT37's Arsenal of Tools

APT37 er en hackergruppe med en bred vifte af værktøjer til deres rådighed. Blandt de mere populære hackingværktøjer, der bruges af APT37, er:

  • NavRAT, en RAT eller Remote Access Trojan, som pakker en lang række funktioner.
  • CORALDECK, en trussel, der bruges til at indsamle filer fra den kompromitterede vært.
  • Karae, en bagdørstrojaner, der samler data om værtssystemet og gør det muligt for angriberne at bestemme, hvordan de skal fortsætte med angrebet.
  • DOGCALL, en bagdørstrojaner, der ligner en RAT på grund af dens muligheder.
  • ROKRAT , en RAT, der kan optage lyd, kapre loginoplysninger, udføre fjernkommandoer osv.
  • ScarCruft Bluetooth Harvester, en Android-baseret trussel, der bruges til at indsamle oplysninger fra den kompromitterede enhed.
  • GELCAPSULE, en trojaner, der bruges til at plante yderligere malware på det inficerede system.
  • MILKDRO, en bagdør, som manipulerer med Windows-registreringsdatabasen for at få vedholdenhed og fungerer meget lydløst.
  • SHUTTERSPEED, en bagdør-trojaner, som kan tage skærmbilleder, hente oplysninger om værtens software og hardware og implementere yderligere malware på systemet.
  • RICECURRY, et stykke kode skrevet i JavaScript, som injiceres på kaprede websteder og bruges til at kontrollere fingeraftrykket på de brugere, der besøger siden, for at afgøre, om angriberne skal udføre malwaren eller ej.
  • SLOWDRIFT, en trojansk downloader.
  • RUHAPPY, en diskvisker, der udnytter MBR (Master Boot Record) på brugerens harddisk.
  • ZUMKONG, en infostealer, der er kompatibel med Google Chrome og Internet Explorer webbrowsere.
  • SOUNDWAVE, et værktøj, som er i stand til at optage lyd (via mikrofonen på systemet) og derefter sende optagelsen til angribernes C&C (Command & Control) server.

APT37-hackergruppen er bestemt ikke en, der skal undervurderes, på trods af at de ikke er den bedste cyberskurk-organisation i Nordkorea. De fortsætter med at udvide deres arsenal af hackerværktøjer og lancere kampagner mod højprofilerede mål rundt om i verden, så vi sandsynligvis vil fortsætte med at høre om deres forretninger.

APT37 Video

Tip: Gør din lyd ON og se videoen i fuldskærmstilstand.

Trending

Mest sete

Indlæser...