APT37

APT37 (Advanced Persistent Threat) je hekerska skupina, ki bo verjetno delovala iz Severne Koreje. Strokovnjaki domnevajo, da bi APT37 lahko financirala severnokorejska vlada neposredno. Ta hekerska skupina je znana tudi kot ScarCruft. Do leta 2017 je APT37 skoraj vsa svoja prizadevanja osredotočil na cilje v Južni Koreji. Vendar pa je leta 2017 hekerska skupina začela širiti svoj doseg in začela izvajati kampanje v drugih vzhodnoazijskih državah, kot sta Japonska in Vietnam. APT37 je imel tarče tudi na Bližnjem vzhodu. Znano je, da hekerska skupina sodeluje tudi z drugimi slaboumnimi akterji.

APT37 je namenjen spodbujanju severnokorejskih interesov, zato so njihovi cilji ponavadi odmevni. Hekerska skupina je usmerjena v industrije, povezane s proizvodnjo avtomobilov, kemično proizvodnjo, vesoljsko in vesoljsko proizvodnjo itd.

Metode razmnoževanja

Strokovnjaki za kibernetsko varnost so opazovali kampanje APT37 in opisali več metod razmnoževanja, ki se pogosto izvajajo:

• Širjenje zlonamerne programske opreme prek torrent spletnih mest.
• Zagon e-poštnih kampanj z lažnim predstavljanjem.
• Uporaba različnih tehnik socialnega inženiringa za zavajanje uporabnikov, da prenesejo in izvajajo poškodovane datoteke.
• Vdor v storitve in spletna mesta, da bi jih ugrabil in uporabil za širjenje zlonamerne programske opreme.

Arzenal orodij APT37

APT37 je hekerska skupina, ki ima na voljo široko paleto orodij. Med bolj priljubljenimi orodji za hekerje, ki jih uporablja APT37, so:

• NavRAT, trojanec RAT ali oddaljenega dostopa, ki vsebuje dolg seznam funkcij.
• CORALDECK, grožnja, ki se uporablja za zbiranje datotek iz ogroženega gostitelja.
• Karae, backdoor trojanec, ki zbira podatke o gostiteljskem sistemu in omogoča napadalcem, da določijo, kako nadaljevati z napadom.
• DOGCALL, backdoor trojanec, ki je zaradi svojih zmogljivosti podoben RAT-u.
• ROKRAT , RAT, ki lahko snema zvok, ugrabi prijavne poverilnice, izvaja oddaljene ukaze itd.
• ScarCruft Bluetooth Harvester, grožnja, ki temelji na sistemu Android, ki se uporablja za zbiranje informacij iz ogrožene naprave.
• GELCAPSULE, trojanec, ki se uporablja za vsaditev dodatne zlonamerne programske opreme v okuženi sistem.
• MILKDRO, backdoor, ki posega v register Windows, da bi pridobil obstojnost, in deluje zelo tiho.
• SHUTTERSPEED, backdoor trojanec, ki lahko posname posnetke zaslona, sifonira informacije o programski in strojni opremi gostitelja ter namesti dodatno zlonamerno programsko opremo v sistemu.
• RICECURRY, kos kode, napisan v JavaScriptu, ki se vbrizga v ugrabljena spletna mesta in se uporablja za preverjanje prstnih odtisov uporabnikov, ki obiščejo stran, da ugotovijo, ali naj napadalci izvedejo zlonamerno programsko opremo ali ne.
• SLOWDRIFT, trojanski prenosnik.
• RUHAPPY, brisalec diska, ki izkorišča MBR (Master Boot Record) uporabnikovega trdega diska.
• ZUMKONG, zloraba informacij, ki je združljiva s spletnima brskalnikoma Google Chrome in Internet Explorer.
• SOUNDWAVE, orodje, ki je sposobno snemati zvok (prek mikrofona, ki je prisoten v sistemu) in nato poslati posnetek na C&C (Command & Control) strežnik napadalcev.

Hekerske skupine APT37 zagotovo ne gre podcenjevati, čeprav niso najboljša organizacija kibernetskih prevarantov v Severni Koreji. Še naprej širijo svoj arzenal hekerskih orodij in začenjajo kampanje proti odmevnim tarčam po vsem svetu, tako da bomo verjetno še naprej slišali o njihovih poslih.

APT37 Video

Nasvet: Obrnite zvok ON in si ogledate video v Full Screen načinu.