APT37

APT37 (Advanced Persistent Threat) yra įsilaužimo grupė, kuri greičiausiai veiks iš Šiaurės Korėjos. Ekspertai spėja, kad APT37 gali būti tiesiogiai finansuojamas Šiaurės Korėjos vyriausybės. Ši įsilaužimo grupė taip pat žinoma kaip ScarCruft. Iki 2017 m. APT37 beveik visas savo pastangas sutelkė į taikinius, esančius Pietų Korėjoje. Tačiau 2017 m. įsilaužimo grupė pradėjo plėsti savo pasiekiamumą ir pradėjo kampanijas kitose Rytų Azijos valstybėse, tokiose kaip Japonija ir Vietnamas. APT37 taip pat turėjo taikinių Artimuosiuose Rytuose. Taip pat žinoma, kad įsilaužimo grupė bendradarbiauja su kitais blogai mąstančiais veikėjais.

APT37 yra skirtas Šiaurės Korėjos interesams gerinti, todėl jų taikiniai paprastai yra aukšto lygio. Įsilaužimų grupė yra linkusi nukreipti į pramonės šakas, susijusias su automobilių gamyba, chemijos gamyba, aviacija ir kt.

Dauginimo metodai

Kibernetinio saugumo ekspertai stebėjo APT37 kampanijas ir apibūdino kelis platinimo metodus, kurie dažnai yra įgyvendinami:

• Kenkėjiškų programų platinimas per torrent svetaines.
• Pradedama sukčiavimo el. pašto kampanija.
• Įvairių socialinės inžinerijos metodų naudojimas siekiant apgauti vartotojus atsisiųsti ir vykdyti sugadintus failus.
• Įsiskverbimas į paslaugas ir svetaines, siekiant jas užgrobti ir naudoti kenkėjiškoms programoms platinti.

APT37 įrankių arsenalas

APT37 yra įsilaužimo grupė, turinti daugybę įrankių. Tarp populiaresnių APT37 naudojamų įsilaužimo įrankių yra:

• NavRAT, RAT arba nuotolinės prieigos Trojos arklys, kuriame yra ilgas funkcijų sąrašas.
• CORALDECK, grėsmė, naudojama rinkti failus iš pažeisto pagrindinio kompiuterio.
• Karae, galinių durų Trojos arklys, renkantis duomenis apie pagrindinę sistemą ir leidžiantis užpuolikams nustatyti, kaip tęsti ataką.
• DOGCALL, užpakalinių durų Trojos arklys, kuris savo galimybėmis primena RAT.
• ROKRAT , žiurkė, galinti įrašyti garsą, užgrobti prisijungimo duomenis, vykdyti nuotolines komandas ir kt.
• „ScarCruft Bluetooth Harvester“ – „Android“ grėsmė, naudojama informacijai iš pažeisto įrenginio rinkti.
• GELCAPSULE, Trojos arklys, naudojamas užkrėstoje sistemoje įdiegti papildomas kenkėjiškas programas.
• MILKDRO, užpakalinės durys, kurios pažeidžia „Windows“ registrą, kad įgytų patvarumą, ir veikia labai tyliai.
• SHUTTERSPEED, užpakalinių durų Trojos arklys, galintis daryti ekrano kopijas, gauti informaciją apie pagrindinio kompiuterio programinę ir aparatinę įrangą ir įdiegti sistemoje papildomą kenkėjišką programą.
• RICECURRY – „JavaScript“ kalba parašyta kodo dalis, kuri įvedama į užgrobtas svetaines ir naudojama puslapyje besilankančių vartotojų pirštų atspaudams patikrinti, siekiant nustatyti, ar užpuolikai turi paleisti kenkėjišką programą, ar ne.
• SLOWDRIFT, Trojos arklys.
• RUHAPPY – disko valytuvas, kuris išnaudoja vartotojo standžiojo disko MBR (Master Boot Record).
• ZUMKONG, informacijos stealer, suderinama su Google Chrome ir Internet Explorer žiniatinklio naršyklėmis.
• SOUNDWAVE – įrankis, galintis įrašyti garsą (per sistemoje esantį mikrofoną) ir nusiųsti įrašą į užpuolikų C&C (Command & Control) serverį.

APT37 įsilaužimo grupė tikrai nėra nuvertinama, nepaisant to, kad ji nėra didžiausia Šiaurės Korėjos kibernetinių sukčių organizacija. Jie ir toliau plečia savo įsilaužimo įrankių arsenalą ir pradeda kampanijas prieš aukšto lygio taikinius visame pasaulyje, todėl tikriausiai ir toliau girdėsime apie jų sandorius.

APT37 vaizdo įrašas

Patarimas: ĮJUNKITE garsą ir žiūrėkite vaizdo įrašą viso ekrano režimu .