APT37

APT37 (Advanced Persistent Threat) is een hackgroep die waarschijnlijk vanuit Noord-Korea opereert. Experts speculeren dat APT37 mogelijk rechtstreeks door de Noord-Koreaanse overheid wordt gefinancierd. Deze hackgroep staat ook bekend als ScarCruft. Tot 2017 concentreerde APT37 bijna al hun inspanningen op doelen in Zuid-Korea. In 2017 begon de hackgroep echter hun bereik uit te breiden en begon ze campagnes te lanceren in andere Oost-Aziatische staten zoals Japan en Vietnam. De APT37 heeft ook doelen in het Midden-Oosten gehad. Het is ook bekend dat de hackgroep samenwerkt met andere kwaadwillende acteurs.

APT37 is bedoeld om de Noord-Koreaanse belangen te behartigen, en daarom zijn hun doelen vaak spraakmakend. De hackgroep richt zich meestal op industrieën die verband houden met de automobielindustrie, de chemische productie, de ruimtevaart, enz.

Voortplantingsmethoden

Cybersecurity-experts hebben de campagnes van APT37 geobserveerd en hebben verschillende verspreidingsmethoden geschetst, die vaak worden geïmplementeerd:

• Malware verspreiden via torrent-websites.
• Lancering van spear-phishing e-mailcampagnes.
• Verschillende social engineering-technieken gebruiken om gebruikers te misleiden om corrupte bestanden te downloaden en uit te voeren.
• Diensten en websites infiltreren om ze te kapen en te gebruiken om malware te verspreiden.

APT37's arsenaal aan gereedschappen

APT37 is een hackgroep met een breed scala aan tools tot hun beschikking. Een van de meer populaire hacktools die door APT37 worden gebruikt, zijn:

• NavRAT, een RAT- of Remote Access Trojan, die een lange lijst met functies bevat.
• CORALDECK, een bedreiging die wordt gebruikt voor het verzamelen van bestanden van de gecompromitteerde host.
• Karae, een backdoor-trojan die gegevens over het hostsysteem verzamelt en de aanvallers in staat stelt te bepalen hoe de aanval moet worden voortgezet.
• DOGCALL, een backdoor Trojan, die vanwege zijn mogelijkheden op een RAT lijkt.
• ROKRAT , een RAT die audio kan opnemen, inloggegevens kan kapen, opdrachten op afstand kan uitvoeren, enz.
• ScarCruft Bluetooth Harvester, een op Android gebaseerde bedreiging die wordt gebruikt om informatie van het besmette apparaat te verzamelen.
• GELCAPSULE, een Trojaans paard dat wordt gebruikt om extra malware op het geïnfecteerde systeem te plaatsen.
• MILKDRO, een achterdeur, die knoeit met het Windows-register om persistentie te krijgen en heel stil werkt.
• SHUTTERSPEED, een backdoor Trojan, die schermafbeeldingen kan maken, informatie over de software en hardware van de host kan overhevelen en aanvullende malware op het systeem kan implementeren.
• RICECURRY, een stukje code geschreven in JavaScript, dat wordt geïnjecteerd in gekaapte websites en wordt gebruikt voor het controleren van de vingerafdruk van de gebruikers die de pagina bezoeken om te bepalen of de aanvallers de malware moeten uitvoeren of niet.
• SLOWDRIFT, een trojan-downloader.
• RUHAPPY, een schijfwisser die gebruikmaakt van de MBR (Master Boot Record) van de harde schijf van de gebruiker.
• ZUMKONG, een infostealer die compatibel is met de webbrowsers Google Chrome en Internet Explorer.
• SOUNDWAVE, een tool die in staat is om audio op te nemen (via de microfoon die op het systeem aanwezig is) en de opname vervolgens naar de C&C (Command & Control)-server van de aanvallers te sturen.

De hackgroep APT37 is zeker niet te onderschatten, ondanks dat ze niet de grootste cybercriminelenorganisatie in Noord-Korea zijn. Ze blijven hun arsenaal aan hacktools uitbreiden en lanceren campagnes tegen spraakmakende doelen over de hele wereld, zodat we waarschijnlijk zullen blijven horen over hun transacties.

APT37 Video

Tip: Zet je geluid AAN en bekijk de video in de modus Volledig scherm.