APT37

APT37 (Advanced Persistent Threat) è un gruppo di hacker che probabilmente opererà dalla Corea del Nord. Gli esperti ipotizzano che APT37 possa essere finanziato direttamente dal governo nordcoreano. Questo gruppo di hacker è anche conosciuto come ScarCruft. Fino al 2017 APT37 ha concentrato quasi tutti i suoi sforzi su obiettivi situati in Corea del Sud. Tuttavia, nel 2017, il gruppo di hacker ha iniziato ad espandere la propria portata e ha iniziato a lanciare campagne in altri stati dell'Asia orientale come Giappone e Vietnam. L'APT37 ha avuto obiettivi anche in Medio Oriente. Il gruppo di hacking è noto anche per collaborare con altri attori malvagi.

APT37 ha lo scopo di promuovere gli interessi della Corea del Nord, e quindi i loro obiettivi tendono ad essere di alto profilo. Il gruppo di hacker tende a prendere di mira i settori legati alla produzione automobilistica, alla produzione chimica, all'aerospaziale, ecc.

Metodi di propagazione

Gli esperti di sicurezza informatica hanno osservato le campagne di APT37 e hanno delineato diversi metodi di propagazione, che sono spesso implementati:

• Diffondere malware tramite siti Web torrent.
• Lancio di campagne e-mail di spear-phishing.
• Utilizzo di varie tecniche di ingegneria sociale per indurre gli utenti a scaricare ed eseguire file danneggiati.
• Infiltrazione di servizi e siti Web per dirottarli e utilizzarli per diffondere malware.

L'arsenale di strumenti di APT37

APT37 è un gruppo di hacker con un'ampia varietà di strumenti a loro disposizione. Tra gli strumenti di hacking più popolari utilizzati da APT37 ci sono:

• NavRAT, un RAT o un Trojan di accesso remoto, che racchiude un lungo elenco di funzionalità.
• CORALDECK, una minaccia utilizzata per la raccolta di file dall'host compromesso.
• Karae, un Trojan backdoor che raccoglie dati sul sistema host e consente agli aggressori di determinare come procedere con l'attacco.
• DOGCALL, un Trojan backdoor, che assomiglia a un RAT per le sue capacità.
• ROKRAT , un RAT in grado di registrare audio, dirottare le credenziali di accesso, eseguire comandi remoti, ecc.
• ScarCruft Bluetooth Harvester, una minaccia basata su Android utilizzata per raccogliere informazioni dal dispositivo compromesso.
• GELCAPSULE, un Trojan utilizzato per installare malware aggiuntivo sul sistema infetto.
• MILKDRO, una backdoor, che manomette il registro di Windows per ottenere persistenza e funziona in modo molto silenzioso.
• SHUTTERSPEED, un Trojan backdoor, che può acquisire schermate, sottrarre informazioni relative al software e all'hardware dell'host e distribuire malware aggiuntivo sul sistema.
• RICECURRY, un pezzo di codice scritto in JavaScript, che viene iniettato nei siti Web dirottati e viene utilizzato per controllare l'impronta digitale degli utenti che visitano la pagina per determinare se gli aggressori devono eseguire o meno il malware.
• SLOWDRIFT, un downloader di trojan.
• RUHAPPY, un disk wiper che sfrutta l'MBR (Master Boot Record) del disco rigido dell'utente.
• ZUMKONG, un infostealer compatibile con i browser Web Google Chrome e Internet Explorer.
• SOUNDWAVE, uno strumento, in grado di registrare l'audio (tramite il microfono presente sul sistema) e quindi inviare la registrazione al server C&C (Command & Control) degli aggressori.

Il gruppo di hacker APT37 non è certamente da sottovalutare, nonostante non sia la principale organizzazione di cyber criminali in Corea del Nord. Continuano ad espandere il loro arsenale di strumenti di hacking e a lanciare campagne contro obiettivi di alto profilo in tutto il mondo in modo che probabilmente continueremo a sentire parlare dei loro rapporti.

APT37 Video

Suggerimento: attiva l' audio e guarda il video in modalità Schermo intero .