APT37

APT37 (Advanced Persistent Threat) یک گروه هکری است که احتمالاً از کره شمالی فعالیت می کند. کارشناسان حدس می زنند که APT37 ممکن است به طور مستقیم توسط دولت کره شمالی تامین مالی شود. این گروه هک با نام ScarCruft نیز شناخته می شود. تا سال 2017 APT37 تقریباً تمام تلاش خود را روی اهداف واقع در کره جنوبی متمرکز کرد. با این حال، در سال 2017، این گروه هک شروع به گسترش دامنه خود کرد و شروع به راه اندازی کمپین هایی در سایر کشورهای شرق آسیا مانند ژاپن و ویتنام کرد. APT37 همچنین اهدافی در خاورمیانه داشته است. این گروه هک به همکاری با دیگر بازیگران بد فکر نیز معروف است.

APT37 به منظور پیشبرد منافع کره شمالی است، و بنابراین اهداف آنها معمولاً برجسته هستند. گروه هک تمایل دارد صنایع مرتبط با خودروسازی، تولید مواد شیمیایی، هوافضا و غیره را هدف قرار دهد.

روش های تکثیر

کارشناسان امنیت سایبری کمپین های APT37 را مشاهده کرده اند و چندین روش انتشار را مشخص کرده اند که اغلب اجرا می شوند:

• انتشار بدافزار از طریق وب سایت های تورنت.
• راه اندازی کمپین های ایمیل فیشینگ نیزه ای.
• استفاده از تکنیک های مختلف مهندسی اجتماعی برای فریب دادن کاربران به دانلود و اجرای فایل های خراب.
• نفوذ به سرویس ها و وب سایت ها برای ربودن آنها و استفاده از آنها برای انتشار بدافزارها.

Arsenal of Tools APT37

APT37 یک گروه هک است که ابزارهای متنوعی در اختیار دارد. از جمله ابزارهای محبوب هک مورد استفاده توسط APT37 عبارتند از:

• NavRAT، یک تروجان RAT یا دسترسی از راه دور، که فهرست طولانی از ویژگی ها را در خود جای داده است.
• CORALDECK، تهدیدی که برای جمع‌آوری فایل‌ها از میزبان در معرض خطر استفاده می‌شود.
• Karae، یک تروجان در پشتی است که داده‌های مربوط به سیستم میزبان را جمع‌آوری می‌کند و مهاجمان را قادر می‌سازد تا نحوه ادامه حمله را تعیین کنند.
• DOGCALL، یک تروجان در پشتی، که به دلیل قابلیت هایش شبیه موش صحرایی است.
• ROKRAT ، یک RAT که می تواند صدا را ضبط کند، اعتبار ورود به سیستم را ربوده، دستورات از راه دور را اجرا کند و غیره.
• ScarCruft Bluetooth Harvester، یک تهدید مبتنی بر Android که برای جمع آوری اطلاعات از دستگاه در معرض خطر استفاده می شود.
• GELCAPSULE، یک تروجان است که برای کاشت بدافزار اضافی در سیستم آلوده استفاده می شود.
• MILKDRO، یک درب پشتی، که رجیستری ویندوز را دستکاری می کند تا پایداری پیدا کند و بسیار بی صدا عمل می کند.
• SHUTTERSPEED، یک تروجان در پشتی است که می تواند اسکرین شات بگیرد، اطلاعات مربوط به نرم افزار و سخت افزار میزبان را جمع آوری کند و بدافزار اضافی را روی سیستم مستقر کند.
• RICECURRY، یک قطعه کد نوشته شده در جاوا اسکریپت است که به وب سایت های ربوده شده تزریق می شود و برای بررسی اثر انگشت کاربرانی که از صفحه بازدید می کنند استفاده می شود تا مشخص شود آیا مهاجمان باید بدافزار را اجرا کنند یا خیر.
• SLOWDRIFT، دانلود کننده تروجان.
• RUHAPPY، یک پاک کننده دیسک که از MBR (Master Boot Record) هارد دیسک کاربر سوء استفاده می کند.
• ZUMKONG، یک infodealer که با مرورگرهای وب Google Chrome و Internet Explorer سازگار است.
• SOUNDWAVE ابزاری است که قادر است صدا را (از طریق میکروفون موجود در سیستم) ضبط کند و سپس ضبط را به سرور C&C (Command & Control) مهاجمان ارسال کند.

گروه هک APT37 با وجود اینکه برترین سازمان کلاهبردار سایبری در کره شمالی نیستند، قطعاً نباید دست کم گرفت. آن‌ها به گسترش زرادخانه ابزار هک خود ادامه می‌دهند و کمپین‌هایی را علیه اهداف بلندپایه در سرتاسر جهان راه‌اندازی می‌کنند تا احتمالاً به شنیدن معاملات آنها ادامه دهیم.

APT37 ویدیو

نکته: صدای خود را روشن کنید و ویدیو را در حالت تمام صفحه تماشا کنید .