APT37
APT37 (Advanced Persistent Threat) è un gruppo di hacker che probabilmente opererà dalla Corea del Nord. Gli esperti ipotizzano che APT37 possa essere finanziato direttamente dal governo nordcoreano. Questo gruppo di hacker è anche conosciuto come ScarCruft. Fino al 2017 APT37 ha concentrato quasi tutti i suoi sforzi su obiettivi situati in Corea del Sud. Tuttavia, nel 2017, il gruppo di hacker ha iniziato ad espandere la propria portata e ha iniziato a lanciare campagne in altri stati dell'Asia orientale come Giappone e Vietnam. L'APT37 ha avuto obiettivi anche in Medio Oriente. Il gruppo di hacking è noto anche per collaborare con altri attori malvagi.
APT37 ha lo scopo di promuovere gli interessi della Corea del Nord, e quindi i loro obiettivi tendono ad essere di alto profilo. Il gruppo di hacker tende a prendere di mira i settori legati alla produzione automobilistica, alla produzione chimica, all'aerospaziale, ecc.
Sommario
Metodi di propagazione
Gli esperti di sicurezza informatica hanno osservato le campagne di APT37 e hanno delineato diversi metodi di propagazione, che sono spesso implementati:
- Diffondere malware tramite siti Web torrent.
- Lancio di campagne e-mail di spear-phishing.
- Utilizzo di varie tecniche di ingegneria sociale per indurre gli utenti a scaricare ed eseguire file danneggiati.
- Infiltrazione di servizi e siti Web per dirottarli e utilizzarli per diffondere malware.
L'arsenale di strumenti di APT37
APT37 è un gruppo di hacker con un'ampia varietà di strumenti a loro disposizione. Tra gli strumenti di hacking più popolari utilizzati da APT37 ci sono:
- NavRAT, un RAT o un Trojan di accesso remoto, che racchiude un lungo elenco di funzionalità.
- CORALDECK, una minaccia utilizzata per la raccolta di file dall'host compromesso.
- Karae, un Trojan backdoor che raccoglie dati sul sistema host e consente agli aggressori di determinare come procedere con l'attacco.
- DOGCALL, un Trojan backdoor, che assomiglia a un RAT per le sue capacità.
- ROKRAT , un RAT in grado di registrare audio, dirottare le credenziali di accesso, eseguire comandi remoti, ecc.
- ScarCruft Bluetooth Harvester, una minaccia basata su Android utilizzata per raccogliere informazioni dal dispositivo compromesso.
- GELCAPSULE, un Trojan utilizzato per installare malware aggiuntivo sul sistema infetto.
- MILKDRO, una backdoor, che manomette il registro di Windows per ottenere persistenza e funziona in modo molto silenzioso.
- SHUTTERSPEED, un Trojan backdoor, che può acquisire schermate, sottrarre informazioni relative al software e all'hardware dell'host e distribuire malware aggiuntivo sul sistema.
- RICECURRY, un pezzo di codice scritto in JavaScript, che viene iniettato nei siti Web dirottati e viene utilizzato per controllare l'impronta digitale degli utenti che visitano la pagina per determinare se gli aggressori devono eseguire o meno il malware.
- SLOWDRIFT, un downloader di trojan.
- RUHAPPY, un disk wiper che sfrutta l'MBR (Master Boot Record) del disco rigido dell'utente.
- ZUMKONG, un infostealer compatibile con i browser Web Google Chrome e Internet Explorer.
- SOUNDWAVE, uno strumento, in grado di registrare l'audio (tramite il microfono presente sul sistema) e quindi inviare la registrazione al server C&C (Command & Control) degli aggressori.
Il gruppo di hacker APT37 non è certamente da sottovalutare, nonostante non sia la principale organizzazione di cyber criminali in Corea del Nord. Continuano ad espandere il loro arsenale di strumenti di hacking e a lanciare campagne contro obiettivi di alto profilo in tutto il mondo in modo che probabilmente continueremo a sentire parlare dei loro rapporti.
APT37 Video
Suggerimento: attiva l' audio e guarda il video in modalità Schermo intero .