APT37

APT37 (Advanced Persistent Threat) to grupa hakerska, która prawdopodobnie działa z Korei Północnej. Eksperci spekulują, że APT37 może być bezpośrednio finansowany przez rząd Korei Północnej. Ta grupa hakerska jest również znana jako ScarCruft. Do 2017 roku APT37 koncentrowało prawie wszystkie swoje wysiłki na celach zlokalizowanych w Korei Południowej. Jednak w 2017 roku grupa hakerska zaczęła rozszerzać swój zasięg i rozpoczęła kampanie w innych państwach Azji Wschodniej, takich jak Japonia i Wietnam. APT37 miał również cele zlokalizowane na Bliskim Wschodzie. Grupa hakerska znana jest również ze współpracy z innymi nierozsądnymi aktorami.

APT37 ma na celu wspieranie interesów Korei Północnej, a zatem ich cele są zwykle głośne. Grupa hakerska zwykle atakuje branże związane z produkcją samochodów, produkcją chemiczną, lotnictwem itp.

Metody propagacji

Eksperci ds. cyberbezpieczeństwa obserwowali kampanie APT37 i nakreślili kilka metod propagacji, które są często wdrażane:

• Rozprzestrzenianie złośliwego oprogramowania za pośrednictwem stron z torrentami.
• Uruchamianie kampanii e-mailowych typu spear-phishing.
• Korzystanie z różnych technik inżynierii społecznej w celu nakłonienia użytkowników do pobrania i wykonania uszkodzonych plików.
• Infiltrowanie usług i stron internetowych w celu ich przejęcia i wykorzystania do rozprzestrzeniania złośliwego oprogramowania.

Arsenał narzędzi APT37

APT37 to grupa hakerska dysponująca szeroką gamą narzędzi. Wśród bardziej popularnych narzędzi hakerskich używanych przez APT37 są:

• NavRAT, trojan RAT lub zdalnego dostępu, który zawiera długą listę funkcji.
• CORALDECK, zagrożenie używane do zbierania plików z zaatakowanego hosta.
• Karae, trojan typu backdoor, który gromadzi dane o systemie hosta i umożliwia atakującym określenie sposobu przeprowadzenia ataku.
• DOGCALL, trojan typu backdoor, który ze względu na swoje możliwości przypomina RAT.
• ROKRAT , RAT, który może nagrywać dźwięk, przejmować dane logowania, wykonywać zdalne polecenia itp.
• ScarCruft Bluetooth Harvester, zagrożenie oparte na systemie Android, które służy do zbierania informacji z zaatakowanego urządzenia.
• GELCAPSULE, trojan używany do umieszczania dodatkowego złośliwego oprogramowania w zainfekowanym systemie.
• MILKDRO, backdoor, który manipuluje rejestrem systemu Windows, aby uzyskać trwałość i działa bardzo cicho.
• SHUTTERSPEED, trojan typu backdoor, który może wykonywać zrzuty ekranu, pobierać informacje dotyczące oprogramowania i sprzętu hosta oraz instalować dodatkowe złośliwe oprogramowanie w systemie.
• RICECURRY, fragment kodu napisany w JavaScript, który jest wstrzykiwany do przejętych stron internetowych i służy do sprawdzania odcisków palców użytkowników odwiedzających stronę w celu ustalenia, czy atakujący powinni wykonać złośliwe oprogramowanie, czy nie.
• SLOWDRIFT, trojan downloader.
• RUHAPPY, narzędzie do wycierania dysku, które wykorzystuje MBR (Master Boot Record) dysku twardego użytkownika.
• ZUMKONG, złodziej informacji, który jest kompatybilny z przeglądarkami internetowymi Google Chrome i Internet Explorer.
• SOUNDWAVE, narzędzie, które jest w stanie nagrywać dźwięk (za pośrednictwem mikrofonu obecnego w systemie), a następnie przesyłać nagranie do serwera C&C (Command & Control) atakujących.

Z pewnością nie należy lekceważyć grupy hakerskiej APT37, mimo że nie jest to największa organizacja cyberprzestępców w Korei Północnej. Wciąż poszerzają swój arsenał narzędzi hakerskich i przeprowadzają kampanie przeciwko głośnym celom na całym świecie, więc prawdopodobnie będziemy nadal słyszeć o ich działaniach.

APT37 wideo

Wskazówka: Proszę włączyć dźwięk ON i oglądać filmy w trybie pełnoekranowym.