APT37
APT37 (Advanced Persistent Threat) คือกลุ่มแฮ็คที่มีแนวโน้มว่าจะปฏิบัติการจากเกาหลีเหนือ ผู้เชี่ยวชาญคาดการณ์ว่า APT37 อาจได้รับการสนับสนุนทางการเงินจากรัฐบาลเกาหลีเหนือโดยตรง กลุ่มแฮ็คนี้เรียกอีกอย่างว่า ScarCruft จนถึงปี 2017 APT37 ได้รวบรวมความพยายามเกือบทั้งหมดไปที่เป้าหมายที่ตั้งอยู่ในเกาหลีใต้ อย่างไรก็ตาม ในปี 2560 กลุ่มแฮ็กเกอร์เริ่มขยายการเข้าถึงและเริ่มเปิดตัวแคมเปญในรัฐอื่นๆ ในเอเชียตะวันออก เช่น ญี่ปุ่นและเวียดนาม APT37 ยังมีเป้าหมายอยู่ในตะวันออกกลาง กลุ่มแฮ็คยังเป็นที่รู้จักในการร่วมมือกับนักแสดงที่มีความคิดไม่ดี
APT37 มีขึ้นเพื่อผลประโยชน์ของเกาหลีเหนือ ดังนั้นเป้าหมายของพวกเขาจึงมีแนวโน้มสูง กลุ่มแฮ็คมีแนวโน้มที่จะกำหนดเป้าหมายอุตสาหกรรมที่เชื่อมโยงกับการผลิตรถยนต์ การผลิตสารเคมี การบินและอวกาศ ฯลฯ
สารบัญ
วิธีการขยายพันธุ์
ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ได้เฝ้าสังเกตแคมเปญของ APT37 และได้สรุปวิธีการเผยแพร่หลายวิธี ซึ่งมักจะนำไปใช้:
- การแพร่กระจายมัลแวร์ผ่านเว็บไซต์ทอร์เรนต์
- เปิดตัวแคมเปญอีเมลสเปียร์ฟิชชิ่ง
- ใช้เทคนิควิศวกรรมโซเชียลต่างๆ เพื่อหลอกให้ผู้ใช้ดาวน์โหลดและเรียกใช้ไฟล์ที่เสียหาย
- การแทรกซึมของบริการและเว็บไซต์เพื่อจี้และใช้เพื่อแพร่กระจายมัลแวร์
Arsenal of Tools ของ APT37
APT37 เป็นกลุ่มแฮ็คที่มีเครื่องมือหลากหลายให้เลือกใช้ เครื่องมือแฮ็คยอดนิยมที่ใช้โดย APT37 ได้แก่:
- NavRAT หรือโทรจัน RAT หรือ Remote Access ที่อัดแน่นไปด้วยคุณสมบัติมากมาย
- CORALDECK ภัยคุกคามที่ใช้ในการรวบรวมไฟล์จากโฮสต์ที่ถูกบุกรุก
- Karae โทรจันลับๆ ที่รวบรวมข้อมูลเกี่ยวกับระบบโฮสต์และช่วยให้ผู้โจมตีสามารถกำหนดวิธีดำเนินการโจมตีได้
- DOGCALL โทรจันลับๆ ซึ่งคล้ายกับหนูเนื่องจากความสามารถของมัน
- ROKRAT หนูที่สามารถบันทึกเสียง จี้ข้อมูลรับรองการเข้าสู่ระบบ ดำเนินการคำสั่งจากระยะไกล ฯลฯ
- ScarCruft Bluetooth Harvester ภัยคุกคามบน Android ที่ใช้ในการรวบรวมข้อมูลจากอุปกรณ์ที่ถูกบุกรุก
- GELCAPSULE โทรจันที่ใช้สำหรับปลูกมัลแวร์เพิ่มเติมในระบบที่ติดไวรัส
- MILKDRO ซึ่งเป็นแบ็คดอร์ ซึ่งรบกวนการทำงานของ Windows Registry เพื่อให้มีความคงอยู่และทำงานอย่างเงียบเชียบ
- SHUTTERSPEED โทรจันลับๆ ซึ่งสามารถจับภาพหน้าจอ ดูดข้อมูลที่เกี่ยวข้องกับซอฟต์แวร์และฮาร์ดแวร์ของโฮสต์ และปรับใช้มัลแวร์เพิ่มเติมในระบบ
- RICECURRY โค้ดที่เขียนด้วย JavaScript ซึ่งถูกแทรกเข้าไปในเว็บไซต์ที่ถูกไฮแจ็กและใช้สำหรับตรวจสอบลายนิ้วมือของผู้ใช้ที่เข้าชมหน้าเว็บเพื่อตรวจสอบว่าผู้โจมตีควรเรียกใช้มัลแวร์หรือไม่
- SLOWDRIFT โปรแกรมดาวน์โหลดโทรจัน
- RUHAPPY ดิสก์ที่ปัดน้ำฝนที่ใช้ประโยชน์จาก MBR (Master Boot Record) ของฮาร์ดไดรฟ์ของผู้ใช้
- ZUMKONG โปรแกรมขโมยข้อมูลที่เข้ากันได้กับเว็บเบราว์เซอร์ Google Chrome และ Internet Explorer
- SOUNDWAVE เครื่องมือที่สามารถบันทึกเสียง (ผ่านไมโครโฟนที่มีอยู่ในระบบ) แล้วส่งการบันทึกไปยังเซิร์ฟเวอร์ C&C (Command & Control) ของผู้โจมตี
กลุ่มแฮ็ค APT37 ไม่ใช่กลุ่มที่จะถูกมองข้ามอย่างแน่นอน แม้ว่าจะไม่ใช่องค์กรอาชญากรไซเบอร์ชั้นนำในเกาหลีเหนือก็ตาม พวกเขายังคงขยายคลังอาวุธเครื่องมือแฮ็กและเปิดตัวแคมเปญกับเป้าหมายที่มีชื่อเสียงทั่วโลก เพื่อที่เราจะได้รับทราบเกี่ยวกับการติดต่อของพวกเขาต่อไป
APT37 วิดีโอ
เคล็ดลับ: เปิดเสียงของคุณและดูวิดีโอในโหมดเต็มหน้าจอ