APT37

APT37 (Advanced Persistent Threat) — это хакерская группа, которая, вероятно, действует из Северной Кореи. Эксперты предполагают, что APT37 может напрямую финансироваться правительством Северной Кореи. Эта хакерская группа также известна как ScarCruft. До 2017 года APT37 сосредоточила почти все свои усилия на целях, расположенных в Южной Корее. Однако в 2017 году хакерская группа начала расширять свое присутствие и запускать кампании в других государствах Восточной Азии, таких как Япония и Вьетнам. У APT37 также были цели, расположенные на Ближнем Востоке. Также известно, что хакерская группа сотрудничает с другими злоумышленниками.

APT37 предназначен для продвижения интересов Северной Кореи, и поэтому их цели, как правило, имеют высокий статус. Хакерская группа нацелена на отрасли, связанные с автомобилестроением, химическим производством, аэрокосмической промышленностью и т. д.

Методы размножения

Эксперты по кибербезопасности наблюдали за кампаниями APT37 и выделили несколько методов распространения, которые часто применяются:

• Распространение вредоносных программ через торрент-сайты.
• Запуск целевого фишинга по электронной почте.
• Использование различных методов социальной инженерии, чтобы заставить пользователей загружать и запускать поврежденные файлы.
• Проникновение в службы и веб-сайты с целью их захвата и использования для распространения вредоносных программ.

Арсенал инструментов APT37

APT37 — это хакерская группа, в распоряжении которой имеется широкий набор инструментов. Среди наиболее популярных хакерских инструментов, используемых APT37:

• NavRAT, RAT или троян удаленного доступа, обладающий длинным списком функций.
• CORALDECK — угроза, используемая для сбора файлов со взломанного хоста.
• Karae, троянец-бэкдор, который собирает данные о хост-системе и позволяет злоумышленникам определить, как продолжить атаку.
• DOGCALL — троянец-бэкдор, по своим возможностям напоминающий RAT.
• ROKRAT , RAT, который может записывать звук, перехватывать учетные данные для входа в систему, выполнять удаленные команды и т. д.
• ScarCruft Bluetooth Harvester — угроза для Android, используемая для сбора информации со взломанного устройства.
• GELCAPSULE — троянец, который используется для внедрения дополнительных вредоносных программ в зараженную систему.
• MILKDRO, бэкдор, который вмешивается в реестр Windows, чтобы добиться устойчивости, и работает очень тихо.
• SHUTTERSPEED, троянец-бэкдор, который может делать снимки экрана, перекачивать информацию о программном и аппаратном обеспечении хоста и развертывать в системе дополнительное вредоносное ПО.
• RICECURRY, фрагмент кода, написанный на JavaScript, который внедряется на взломанные веб-сайты и используется для проверки отпечатков пальцев пользователей, посещающих страницу, чтобы определить, должны ли злоумышленники запускать вредоносное ПО или нет.
• SLOWDRIFT, троянский загрузчик.
• RUHAPPY, средство очистки диска, использующее MBR (главную загрузочную запись) жесткого диска пользователя.
• ZUMKONG, программа для кражи информации, совместимая с веб-браузерами Google Chrome и Internet Explorer.
• SOUNDWAVE, инструмент, способный записывать звук (через микрофон, присутствующий в системе), а затем отправлять запись на сервер C&C (Command & Control) злоумышленников.

Хакерскую группу APT37, безусловно, нельзя недооценивать, несмотря на то, что она не является ведущей кибер-мошеннической организацией в Северной Корее. Они продолжают расширять свой арсенал хакерских инструментов и запускают кампании против высокопоставленных целей по всему миру, так что мы, вероятно, продолжим слышать об их сделках.

APT37 Видео

Совет: Включите звук ON и смотреть видео в полноэкранном режиме.