APT37

O APT37 (Ameaça Persistente Avançada) é um grupo de hackers que provavelmente opera na Coréia do Norte. Os especialistas especulam que o APT37 pode ser financiado diretamente pelo governo norte-coreano. Esse grupo de hackers também é conhecido como ScarCruft. Até 2017, o APT37 concentrou quase todos os seus esforços em metas localizadas na Coréia do Sul. No entanto, em 2017, o grupo de hackers começou a expandir seu alcance e começou a lançar campanhas em outros estados do leste asiático, como Japão e Vietnã. O APT37 também teve alvos localizados no Oriente Médio. O grupo de hackers também é conhecido por colaborar com outros atores mal-intencionados.

O APT37 destina-se a promover os interesses norte-coreanos e, portanto, seus alvos tendem a ser de alto nível. O grupo de hackers tende a atingir indústrias ligadas à fabricação de automóveis, produção química, aeroespacial etc.

Métodos de Propagação

Os especialistas em segurança cibernética têm observado as campanhas da APT37 e delineado vários métodos de propagação, que são frequentemente implementados:

• Espalhando malware através de sites de torrent.
• Lançando de campanhas de email com spear-phishing.
• Usando várias técnicas de engenharia social para induzir os usuários a baixar e executar arquivos corrompidos.
• Infiltrando serviços e sites para seqüestrá-los e usá-los para espalhar malware.

O Arsenal de Ferramentas do APT37

O APT37 é um grupo de hackers com uma ampla variedade de ferramentas à sua disposição. Entre as ferramentas de hacking mais populares usadas pelo APT37 estão:

• NavRAT, um RAT ou Trojan de Acesso Remoto, que inclui uma longa lista de recursos.
• CORALDECK, uma ameaça usada para coletar arquivos do host comprometido.
• Karae, um Trojan backdoor que reúne dados sobre o sistema host e permite que os atacantes determinem como proceder com o ataque.
• DOGCALL, um Trojan backdoor, que se assemelha a um RAT devido aos seus recursos.
• ROKRAT, um RAT que pode gravar áudio, seqüestrar credenciais de login, executar comandos remotos, etc.
• ScarCruft Bluetooth Harvester, uma ameaça baseada no Android usada para coletar informações no dispositivo comprometido.
• GELCAPSULE, um Trojan usado para plantar malware adicional no sistema infectado.
• O MILKDRO, um backdoor, que mexe no Registro do Windows para ganhar persistência e opera silenciosamente.
• SHUTTERSPEED, um Trojan backdoor, que pode fazer capturas de tela, desviar informações sobre o software e o hardware do host e implantar malware adicional no sistema.
• RICECURRY, um código escrito no JavaScript, que é injetado em sites invadidos e é usado para verificar a impressão digital dos usuários que visitam a página para determinar se os invasores devem executar o malware ou não.
• SLOWDRIFT, um Trojan Downloader.
• RUHAPPY, um limpador de disco que explora o MBR (Master Boot Record) do disco rígido do usuário.
• ZUMKONG, um infostealer compatível com os navegadores da Web Google Chrome e Internet Explorer.
• SOUNDWAVE, uma ferramenta capaz de gravar áudio (através do microfone presente no sistema) e depois enviar a gravação para o servidor de C&C (Comando e Controle) dos atacantes.

O grupo de hackers APT37 não deve ser subestimado com certeza, apesar de não ser a principal organização de criminosos cibernéticos da Coréia do Norte. Eles continuam a expandir o seu arsenal de ferramentas de hackers e a lançar campanhas contra alvos de alto nível em todo o mundo, de modo que, provavelmente, continuemos ouvindo sobre suas transações.

APT37 Vídeo

Dica: Ligue o som e assistir o vídeo em modo de tela cheia.