APT37

Az APT37 (Advanced Persistent Threat) egy hackercsoport, amely valószínűleg Észak-Koreából fog működni. Szakértők azt feltételezik, hogy az APT37-et közvetlenül az észak-koreai kormány finanszírozhatja. Ez a hackercsoport ScarCruft néven is ismert. 2017-ig az APT37 szinte minden erőfeszítését a dél-koreai célpontokra összpontosította. 2017-ben azonban a hackercsoport kiterjesztette hatókörét, és kampányokat indított más kelet-ázsiai államokban, például Japánban és Vietnamban. Az APT37-nek is voltak célpontjai a Közel-Keleten. A hackercsoportról ismert, hogy más rosszindulatú szereplőkkel is együttműködik.

Az APT37 célja az észak-koreai érdekek előmozdítása, ezért célpontjaik általában nagy horderejűek. A hackercsoport általában olyan iparágakat céloz meg, amelyek az autógyártáshoz, vegyiparhoz, repüléshez stb. kapcsolódnak.

Szaporítási módszerek

Kiberbiztonsági szakértők figyelték az APT37 kampányait, és számos terjesztési módszert vázoltak fel, amelyeket gyakran alkalmaznak:

• Rosszindulatú programok terjesztése torrent webhelyeken keresztül.
• Adathalász e-mail kampányok indítása.
• Különféle social engineering technikák alkalmazása, hogy rávegyék a felhasználókat sérült fájlok letöltésére és végrehajtására.
• Szolgáltatások és webhelyek beszivárgása, hogy eltérítse őket, és rosszindulatú programok terjesztésére használja őket.

Az APT37 Eszközarzenálja

Az APT37 egy hackercsoport, amely számos eszközzel rendelkezik. Az APT37 által használt népszerűbb hackereszközök között szerepel:

• A NavRAT, egy RAT vagy Remote Access trójai, amely szolgáltatások hosszú listáját tartalmazza.
• CORALDECK, egy fenyegetés, amellyel fájlokat gyűjtenek a feltört gazdagéptől.
• Karae, egy hátsó ajtós trójai, amely adatokat gyűjt a gazdarendszerről, és lehetővé teszi a támadók számára, hogy meghatározzák a támadást.
• DOGCALL, egy hátsóajtós trójai, amely képességeinél fogva egy RAT-ra hasonlít.
• ROKRAT , egy RAT, amely hangot rögzíthet, bejelentkezési adatokat tud eltéríteni, távoli parancsokat hajt végre stb.
• A ScarCruft Bluetooth Harvester, egy Android-alapú fenyegetés, amelyet arra használnak, hogy információkat gyűjtsön a feltört eszközről.
• GELCAPSULE, egy trójai, amelyet további rosszindulatú programok telepítésére használnak a fertőzött rendszeren.
• MILKDRO, egy hátsó ajtó, amely megzavarja a Windows Registry-t, hogy tartósabbá váljon, és nagyon csendesen működik.
• A SHUTTERSPEED egy hátsó ajtós trójai, amely képes képernyőképeket készíteni, a gazdagép szoftverével és hardverével kapcsolatos információkat szippantani, valamint további rosszindulatú programokat telepíteni a rendszerre.
• A RICECURRY, egy JavaScript nyelven írt kódrészlet, amelyet a feltört webhelyekbe fecskendeznek be, és az oldalt látogató felhasználók ujjlenyomatának ellenőrzésére használják, hogy megállapítsák, a támadóknak végre kell hajtaniuk a kártevőt vagy sem.
• SLOWDRIFT, egy trójai letöltő.
• RUHAPPY, egy lemeztörlő, amely kihasználja a felhasználó merevlemezének MBR-jét (Master Boot Record).
• ZUMKONG, egy információlopó, amely kompatibilis a Google Chrome és az Internet Explorer webböngészőkkel.
• SOUNDWAVE, egy olyan eszköz, amely képes hangot rögzíteni (a rendszerben lévő mikrofonon keresztül), majd a felvételt elküldeni a támadók C&C (Command & Control) szerverére.

Az APT37 hackercsoportot természetesen nem szabad alábecsülni, annak ellenére, hogy nem ők a legjobb kiberbűnszervezet Észak-Koreában. Továbbra is bővítik hackereszköz-arzenáljukat, és kampányokat indítanak nagy horderejű célpontok ellen szerte a világon, így valószínűleg továbbra is hallani fogunk az ügyleteikről.

APT37 videó

Tipp: Kapcsolja BE a hangot, és nézze meg a videót teljes képernyős módban .