APT37
APT37 (Advanced Persistent Threat) er en hackergruppe som sannsynligvis vil operere fra Nord-Korea. Eksperter spekulerer i at APT37 kan bli finansiert av den nordkoreanske regjeringen direkte. Denne hackergruppen er også kjent som ScarCruft. Fram til 2017 konsentrerte APT37 nesten all sin innsats på mål lokalisert i Sør-Korea. Imidlertid begynte hackergruppen i 2017 å utvide rekkevidden sin og begynte å lansere kampanjer i andre østasiatiske stater som Japan og Vietnam. APT37 har også hatt mål lokalisert i Midtøsten. Hackergruppen er også kjent for å samarbeide med andre dårlige aktører.
APT37 er ment å fremme nordkoreanske interesser, og dermed har deres mål en tendens til å være høyprofilerte. Hackinggruppen har en tendens til å målrette mot bransjer knyttet til bilproduksjon, kjemisk produksjon, romfart, etc.
Innholdsfortegnelse
Formeringsmetoder
Eksperter på nettsikkerhet har observert APT37s kampanjer og har skissert flere forplantningsmetoder, som ofte implementeres:
- Spredning av skadelig programvare via torrent-nettsteder.
- Lansering av spyd-phishing-e-postkampanjer.
- Bruke ulike sosiale ingeniørteknikker for å lure brukere til å laste ned og kjøre korrupte filer.
- Infiltrerende tjenester og nettsteder for å kapre dem og bruke dem til å spre skadelig programvare.
APT37s Arsenal of Tools
APT37 er en hackergruppe med et bredt utvalg av verktøy til disposisjon. Blant de mer populære hackingverktøyene som brukes av APT37 er:
- NavRAT, en RAT eller Remote Access Trojan, som pakker en lang liste med funksjoner.
- CORALDECK, en trussel som brukes til å samle filer fra den kompromitterte verten.
- Karae, en bakdørstrojaner som samler data om vertssystemet og lar angriperne bestemme hvordan de skal fortsette med angrepet.
- DOGCALL, en bakdørstrojaner, som ligner en RAT på grunn av dens evner.
- ROKRAT , en RAT som kan ta opp lyd, kapre påloggingsinformasjon, utføre eksterne kommandoer, etc.
- ScarCruft Bluetooth Harvester, en Android-basert trussel som brukes til å samle informasjon fra den kompromitterte enheten.
- GELCAPSULE, en trojaner som brukes til å plante ytterligere skadelig programvare på det infiserte systemet.
- MILKDRO, en bakdør, som tukler med Windows-registeret for å få utholdenhet og fungerer veldig stille.
- SHUTTERSPEED, en bakdørstrojaner, som kan ta skjermbilder, hente informasjon om programvaren og maskinvaren til verten og distribuere ytterligere skadelig programvare på systemet.
- RICECURRY, et stykke kode skrevet i JavaScript, som injiseres på kaprede nettsteder og brukes til å sjekke fingeravtrykket til brukerne som besøker siden for å finne ut om angriperne skal utføre skadelig programvare eller ikke.
- SLOWDRIFT, en trojansk nedlaster.
- RUHAPPY, en diskvisker som utnytter MBR (Master Boot Record) på brukerens harddisk.
- ZUMKONG, en infostealer som er kompatibel med nettleserne Google Chrome og Internet Explorer.
- SOUNDWAVE, et verktøy som er i stand til å ta opp lyd (via mikrofonen på systemet) og deretter sende opptaket til C&C-serveren (Command & Control) til angriperne.
APT37-hackinggruppen er absolutt ikke en som skal undervurderes, til tross for at de ikke er den beste cyberskurken-organisasjonen i Nord-Korea. De fortsetter å utvide arsenalet av hackerverktøy og lanserer kampanjer mot høyprofilerte mål rundt om i verden, slik at vi sannsynligvis vil fortsette å høre om deres handel.
APT37 video
Tips: Slå PÅ lyden og se videoen i fullskjermmodus .