APT37

APT37 (Advanced Persistent Threat) je hackerská skupina, ktorá pravdepodobne pôsobí zo Severnej Kórey. Odborníci predpokladajú, že APT37 môže byť financovaný priamo severokórejskou vládou. Táto hackerská skupina je známa aj ako ScarCruft. Do roku 2017 APT37 sústredili takmer všetko svoje úsilie na ciele v Južnej Kórei. V roku 2017 však hackerská skupina začala rozširovať svoj dosah a začala spúšťať kampane v iných východoázijských štátoch, ako je Japonsko a Vietnam. APT37 má tiež ciele umiestnené na Blízkom východe. Hackerská skupina je tiež známa tým, že spolupracuje s inými zle zmýšľajúcimi hercami.

APT37 je určený na podporu severokórejských záujmov, a preto ich ciele majú tendenciu byť vysoko postavené. Hackerská skupina má tendenciu zameriavať sa na odvetvia spojené s výrobou automobilov, chemickou výrobou, letectvom atď.

Metódy množenia

Odborníci na kybernetickú bezpečnosť sledovali kampane APT37 a načrtli niekoľko metód propagácie, ktoré sa často používajú:

• Šírenie malvéru cez torrentové webové stránky.
• Spustenie e-mailových kampaní spear-phishing.
• Používanie rôznych techník sociálneho inžinierstva na oklamanie používateľov, aby stiahli a spustili poškodené súbory.
• Infiltrovanie služieb a webových stránok s cieľom ich uniesť a použiť ich na šírenie škodlivého softvéru.

Arzenál nástrojov APT37

APT37 je hackerská skupina so širokou škálou nástrojov, ktoré má k dispozícii. Medzi najobľúbenejšie hackerské nástroje používané APT37 patria:

• NavRAT, trójsky kôň RAT alebo vzdialený prístup, ktorý obsahuje dlhý zoznam funkcií.
• CORALDECK, hrozba používaná na zhromažďovanie súborov z napadnutého hostiteľa.
• Karae, trójsky kôň typu backdoor, ktorý zhromažďuje údaje o hostiteľskom systéme a umožňuje útočníkom určiť, ako pokračovať v útoku.
• DOGCALL, backdoor trójsky kôň, ktorý svojimi schopnosťami pripomína RAT.
• ROKRAT , RAT, ktorý dokáže nahrávať zvuk, uniesť prihlasovacie údaje, vykonávať vzdialené príkazy atď.
• ScarCruft Bluetooth Harvester, hrozba pre Android, ktorá sa používa na zhromažďovanie informácií z napadnutého zariadenia.
• GELCAPSULE, trójsky kôň, ktorý sa používa na nasadenie ďalšieho škodlivého softvéru do infikovaného systému.
• MILKDRO, zadné vrátka, ktoré manipuluje s registrom Windows, aby získalo vytrvalosť a funguje veľmi ticho.
• SHUTTERSPEED, trójsky kôň so zadnými vrátkami, ktorý dokáže snímať snímky obrazovky, nasávať informácie týkajúce sa softvéru a hardvéru hostiteľa a nasadzovať do systému ďalší malvér.
• RICECURRY, kus kódu napísaný v jazyku JavaScript, ktorý sa vkladá do napadnutých webových stránok a používa sa na kontrolu odtlačkov prstov používateľov navštevujúcich stránku s cieľom určiť, či by útočníci mali spustiť malvér alebo nie.
• SLOWDRIFT, sťahovanie trójskych koní.
• RUHAPPY, stierač disku, ktorý využíva MBR (Master Boot Record) pevného disku používateľa.
• ZUMKONG, infostealer, ktorý je kompatibilný s webovými prehliadačmi Google Chrome a Internet Explorer.
• SOUNDWAVE, nástroj, ktorý dokáže zaznamenať zvuk (cez mikrofón prítomný v systéme) a následne nahrávku odoslať na server C&C (Command & Control) útočníkov.

Hackerská skupina APT37 určite nie je jednou z tých, ktoré by sa mali podceňovať, napriek tomu, že nie sú hlavnou organizáciou kybernetických podvodníkov v Severnej Kórei. Pokračujú v rozširovaní svojho arzenálu hackerských nástrojov a spúšťajú kampane proti významným cieľom po celom svete, takže pravdepodobne budeme aj naďalej počuť o ich obchodoch.

APT37 Video

Tip: Zapnite si zvuk a sledujte video v režime celej obrazovky .