APT37

APT37 (Advanced Persistent Threat) este un grup de hacking care este probabil să opereze din Coreea de Nord. Experții speculează că APT37 ar putea fi finanțat direct de guvernul nord-coreean. Acest grup de hacking este cunoscut și sub numele de ScarCruft. Până în 2017, APT37 și-a concentrat aproape toate eforturile pe ținte situate în Coreea de Sud. Cu toate acestea, în 2017, grupul de hacking a început să-și extindă acoperirea și a început să lanseze campanii în alte state din Asia de Est, cum ar fi Japonia și Vietnam. APT37 a avut și ținte situate în Orientul Mijlociu. Grupul de hacking este, de asemenea, cunoscut că colaborează cu alți actori prost.

APT37 este menit să promoveze interesele nord-coreene și, prin urmare, țintele lor tind să fie de profil înalt. Grupul de hacking tinde să vizeze industriile legate de producția de automobile, producția chimică, aerospațială etc.

Metode de propagare

Experții în securitate cibernetică au observat campaniile APT37 și au subliniat mai multe metode de propagare, care sunt adesea implementate:

• Răspândirea programelor malware prin intermediul site-urilor torrent.
• Lansarea campaniilor de e-mail spear-phishing.
• Folosind diverse tehnici de inginerie socială pentru a păcăli utilizatorii să descarce și să execute fișiere corupte.
• Infiltrarea serviciilor și site-urilor web pentru a le deturna și a le folosi pentru a răspândi programe malware.

Arsenalul de instrumente al APT37

APT37 este un grup de hacking cu o mare varietate de instrumente la dispoziție. Printre cele mai populare instrumente de hacking utilizate de APT37 se numără:

• NavRAT, un troian RAT sau Remote Access, care are o listă lungă de funcții.
• CORALDECK, o amenințare folosită pentru colectarea fișierelor de la gazda compromisă.
• Karae, un troian backdoor care adună date despre sistemul gazdă și le permite atacatorilor să determine cum să procedeze cu atacul.
• DOGCALL, un troian backdoor, care seamănă cu un RAT datorită capacităților sale.
• ROKRAT , un RAT care poate înregistra audio, poate deturna acreditările de conectare, poate executa comenzi de la distanță etc.
• ScarCruft Bluetooth Harvester, o amenințare bazată pe Android care este utilizată pentru a colecta informații de pe dispozitivul compromis.
• GELCAPSULE, un troian care este folosit pentru a planta programe malware suplimentare pe sistemul infectat.
• MILKDRO, o ușă din spate, care modifică Registrul Windows pentru a câștiga persistență și funcționează foarte silențios.
• SHUTTERSPEED, un troian backdoor, care poate face capturi de ecran, poate sifona informații despre software-ul și hardware-ul gazdei și poate implementa malware suplimentar în sistem.
• RICECURRY, o bucată de cod scrisă în JavaScript, care este injectată în site-urile deturnate și este folosită pentru verificarea amprentei utilizatorilor care vizitează pagina pentru a determina dacă atacatorii ar trebui să execute malware-ul sau nu.
• SLOWDRIFT, un program de descărcare troian.
• RUHAPPY, un ștergător de disc care exploatează MBR (Master Boot Record) al hard disk-ului utilizatorului.
• ZUMKONG, un infostealer compatibil cu browserele web Google Chrome și Internet Explorer.
• SOUNDWAVE, un instrument, care este capabil să înregistreze audio (prin microfonul prezent pe sistem) și apoi să trimită înregistrarea către serverul C&C (Command & Control) al atacatorilor.

Grupul de hacking APT37 nu este unul care trebuie subestimat cu siguranță, în ciuda faptului că nu este cea mai importantă organizație de escroci cibernetici din Coreea de Nord. Ei continuă să-și extindă arsenalul de instrumente de hacking și să lanseze campanii împotriva unor ținte de mare profil din întreaga lume, astfel încât probabil că vom continua să auzim despre tranzacțiile lor.

APT37 Video

Sfat: porniți sunetul și vizionați videoclipul în modul Ecran complet .