APT37

APT37 (Advanced Persistent Threat) on hakkerointiryhmä, joka todennäköisesti toimii Pohjois-Koreasta. Asiantuntijat spekuloivat, että Pohjois-Korean hallitus voi rahoittaa APT37:ää suoraan. Tämä hakkerointiryhmä tunnetaan myös nimellä ScarCruft. Vuoteen 2017 asti APT37 keskitti lähes kaikki voimansa Etelä-Koreassa sijaitseviin kohteisiin. Vuonna 2017 hakkerointiryhmä alkoi kuitenkin laajentaa kattavuuttaan ja käynnistää kampanjoita muissa Itä-Aasian osavaltioissa, kuten Japanissa ja Vietnamissa. APT37:llä on ollut kohteita myös Lähi-idässä. Hakkerointiryhmän tiedetään myös tekevän yhteistyötä muiden huonomielisten toimijoiden kanssa.

APT37 on tarkoitettu edistämään Pohjois-Korean etuja, ja siksi niiden kohteet ovat yleensä korkean profiilin. Hakkerointiryhmä pyrkii kohdistamaan kohteensa autoteollisuuteen, kemikaalien tuotantoon, ilmailuteollisuuteen jne. liittyville aloille.

Levitysmenetelmät

Kyberturvallisuusasiantuntijat ovat seuranneet APT37:n kampanjoita ja hahmotelleet useita levitysmenetelmiä, joita usein käytetään:

• Haittaohjelmien levittäminen torrent-sivustojen kautta.
• Käynnistetään keihäs-phishing-sähköpostikampanjat.
• Erilaisten sosiaalisten manipulointitekniikoiden käyttäminen huijatakseen käyttäjiä lataamaan ja suorittamaan vioittuneita tiedostoja.
• Palveluihin ja verkkosivustoihin tunkeutuminen kaapatakseen ne ja käyttääkseen niitä haittaohjelmien levittämiseen.

APT37:n työkaluarsenaali

APT37 on hakkerointiryhmä, jolla on käytössään laaja valikoima työkaluja. APT37:n käyttämiä suosituimpia hakkerointityökaluja ovat:

• NavRAT, RAT tai Remote Access Troijalainen, joka sisältää pitkän listan ominaisuuksia.
• CORALDECK, uhka, jota käytetään tiedostojen keräämiseen vaarantuneelta isännältä.
• Karae, takaoven troijalainen, joka kerää tietoja isäntäjärjestelmästä ja antaa hyökkääjille mahdollisuuden määrittää, miten hyökkäyksessä edetä.
• DOGCALL, takaoven troijalainen, joka muistuttaa RATia ominaisuuksiensa vuoksi.
• ROKRAT , RAT, joka voi tallentaa ääntä, kaapata kirjautumistiedot, suorittaa etäkomentoja jne.
• ScarCruft Bluetooth Harvester, Android-pohjainen uhka, jota käytetään keräämään tietoja vaarantuneesta laitteesta.
• GELCAPSULE, troijalainen, jota käytetään lisäämään haittaohjelmia tartunnan saaneeseen järjestelmään.
• MILKDRO, takaovi, joka peukaloi Windowsin rekisteriä saadakseen pysyvyyttä ja toimii erittäin äänettömästi.
• SHUTTERSPEED, takaoven troijalainen, joka voi ottaa kuvakaappauksia, siirtää tietoja isäntäkoneen ohjelmistoista ja laitteistoista sekä ottaa käyttöön muita haittaohjelmia järjestelmään.
• RICECURRY, JavaScriptillä kirjoitettu koodinpätkä, joka ruiskutetaan kaapatuille verkkosivustoille ja jota käytetään sivulla vierailevien käyttäjien sormenjälkien tarkistamiseen sen määrittämiseksi, pitäisikö hyökkääjien suorittaa haittaohjelma vai ei.
• SLOWDRIFT, troijalainen latausohjelma.
• RUHAPPY, levynpyyhin, joka hyödyntää käyttäjän kiintolevyn MBR:tä (Master Boot Record).
• ZUMKONG, tietovarasto, joka on yhteensopiva Google Chrome- ja Internet Explorer -selaimien kanssa.
• SOUNDWAVE, työkalu, joka pystyy tallentamaan ääntä (järjestelmässä olevan mikrofonin kautta) ja lähettämään sitten tallenteen hyökkääjien C&C (Command & Control) -palvelimelle.

APT37-hakkerointiryhmää ei todellakaan pidä aliarvioida, vaikka se ei ole Pohjois-Korean suurin kyberrikollisjärjestö. He jatkavat hakkerointityökalujen arsenaalin laajentamista ja kampanjoiden käynnistämistä korkean profiilin kohteita vastaan ympäri maailmaa, jotta kuulemme todennäköisesti jatkossakin heidän toimistaan.

APT37 Video

Vinkki: Ota ääni käyttöön ja katso video koko näytön tilassa .