APT37
O APT37 (Ameaça Persistente Avançada) é um grupo de hackers que provavelmente opera na Coréia do Norte. Os especialistas especulam que o APT37 pode ser financiado diretamente pelo governo norte-coreano. Esse grupo de hackers também é conhecido como ScarCruft. Até 2017, o APT37 concentrou quase todos os seus esforços em metas localizadas na Coréia do Sul. No entanto, em 2017, o grupo de hackers começou a expandir seu alcance e começou a lançar campanhas em outros estados do leste asiático, como Japão e Vietnã. O APT37 também teve alvos localizados no Oriente Médio. O grupo de hackers também é conhecido por colaborar com outros atores mal-intencionados.
O APT37 destina-se a promover os interesses norte-coreanos e, portanto, seus alvos tendem a ser de alto nível. O grupo de hackers tende a atingir indústrias ligadas à fabricação de automóveis, produção química, aeroespacial etc.
Índice
Métodos de Propagação
Os especialistas em segurança cibernética têm observado as campanhas da APT37 e delineado vários métodos de propagação, que são frequentemente implementados:
- Espalhando malware através de sites de torrent.
- Lançando de campanhas de email com spear-phishing.
- Usando várias técnicas de engenharia social para induzir os usuários a baixar e executar arquivos corrompidos.
- Infiltrando serviços e sites para seqüestrá-los e usá-los para espalhar malware.
O Arsenal de Ferramentas do APT37
O APT37 é um grupo de hackers com uma ampla variedade de ferramentas à sua disposição. Entre as ferramentas de hacking mais populares usadas pelo APT37 estão:
- NavRAT, um RAT ou Trojan de Acesso Remoto, que inclui uma longa lista de recursos.
- CORALDECK, uma ameaça usada para coletar arquivos do host comprometido.
- Karae, um Trojan backdoor que reúne dados sobre o sistema host e permite que os atacantes determinem como proceder com o ataque.
- DOGCALL, um Trojan backdoor, que se assemelha a um RAT devido aos seus recursos.
- ROKRAT, um RAT que pode gravar áudio, seqüestrar credenciais de login, executar comandos remotos, etc.
- ScarCruft Bluetooth Harvester, uma ameaça baseada no Android usada para coletar informações no dispositivo comprometido.
- GELCAPSULE, um Trojan usado para plantar malware adicional no sistema infectado.
- O MILKDRO, um backdoor, que mexe no Registro do Windows para ganhar persistência e opera silenciosamente.
- SHUTTERSPEED, um Trojan backdoor, que pode fazer capturas de tela, desviar informações sobre o software e o hardware do host e implantar malware adicional no sistema.
- RICECURRY, um código escrito no JavaScript, que é injetado em sites invadidos e é usado para verificar a impressão digital dos usuários que visitam a página para determinar se os invasores devem executar o malware ou não.
- SLOWDRIFT, um Trojan Downloader.
- RUHAPPY, um limpador de disco que explora o MBR (Master Boot Record) do disco rígido do usuário.
- ZUMKONG, um infostealer compatível com os navegadores da Web Google Chrome e Internet Explorer.
- SOUNDWAVE, uma ferramenta capaz de gravar áudio (através do microfone presente no sistema) e depois enviar a gravação para o servidor de C&C (Comando e Controle) dos atacantes.
O grupo de hackers APT37 não deve ser subestimado com certeza, apesar de não ser a principal organização de criminosos cibernéticos da Coréia do Norte. Eles continuam a expandir o seu arsenal de ferramentas de hackers e a lançar campanhas contra alvos de alto nível em todo o mundo, de modo que, provavelmente, continuemos ouvindo sobre suas transações.
APT37 Vídeo
Dica: Ligue o som e assistir o vídeo em modo de tela cheia.