APT37

APT37 (Advanced Persistent Threat) คือกลุ่มแฮ็คที่มีแนวโน้มว่าจะปฏิบัติการจากเกาหลีเหนือ ผู้เชี่ยวชาญคาดการณ์ว่า APT37 อาจได้รับการสนับสนุนทางการเงินจากรัฐบาลเกาหลีเหนือโดยตรง กลุ่มแฮ็คนี้เรียกอีกอย่างว่า ScarCruft จนถึงปี 2017 APT37 ได้รวบรวมความพยายามเกือบทั้งหมดไปที่เป้าหมายที่ตั้งอยู่ในเกาหลีใต้ อย่างไรก็ตาม ในปี 2560 กลุ่มแฮ็กเกอร์เริ่มขยายการเข้าถึงและเริ่มเปิดตัวแคมเปญในรัฐอื่นๆ ในเอเชียตะวันออก เช่น ญี่ปุ่นและเวียดนาม APT37 ยังมีเป้าหมายอยู่ในตะวันออกกลาง กลุ่มแฮ็คยังเป็นที่รู้จักในการร่วมมือกับนักแสดงที่มีความคิดไม่ดี

APT37 มีขึ้นเพื่อผลประโยชน์ของเกาหลีเหนือ ดังนั้นเป้าหมายของพวกเขาจึงมีแนวโน้มสูง กลุ่มแฮ็คมีแนวโน้มที่จะกำหนดเป้าหมายอุตสาหกรรมที่เชื่อมโยงกับการผลิตรถยนต์ การผลิตสารเคมี การบินและอวกาศ ฯลฯ

วิธีการขยายพันธุ์

ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ได้เฝ้าสังเกตแคมเปญของ APT37 และได้สรุปวิธีการเผยแพร่หลายวิธี ซึ่งมักจะนำไปใช้:

• การแพร่กระจายมัลแวร์ผ่านเว็บไซต์ทอร์เรนต์
• เปิดตัวแคมเปญอีเมลสเปียร์ฟิชชิ่ง
• ใช้เทคนิควิศวกรรมโซเชียลต่างๆ เพื่อหลอกให้ผู้ใช้ดาวน์โหลดและเรียกใช้ไฟล์ที่เสียหาย
• การแทรกซึมของบริการและเว็บไซต์เพื่อจี้และใช้เพื่อแพร่กระจายมัลแวร์

Arsenal of Tools ของ APT37

APT37 เป็นกลุ่มแฮ็คที่มีเครื่องมือหลากหลายให้เลือกใช้ เครื่องมือแฮ็คยอดนิยมที่ใช้โดย APT37 ได้แก่:

• NavRAT หรือโทรจัน RAT หรือ Remote Access ที่อัดแน่นไปด้วยคุณสมบัติมากมาย
• CORALDECK ภัยคุกคามที่ใช้ในการรวบรวมไฟล์จากโฮสต์ที่ถูกบุกรุก
• Karae โทรจันลับๆ ที่รวบรวมข้อมูลเกี่ยวกับระบบโฮสต์และช่วยให้ผู้โจมตีสามารถกำหนดวิธีดำเนินการโจมตีได้
• DOGCALL โทรจันลับๆ ซึ่งคล้ายกับหนูเนื่องจากความสามารถของมัน
• ROKRAT หนูที่สามารถบันทึกเสียง จี้ข้อมูลรับรองการเข้าสู่ระบบ ดำเนินการคำสั่งจากระยะไกล ฯลฯ
• ScarCruft Bluetooth Harvester ภัยคุกคามบน Android ที่ใช้ในการรวบรวมข้อมูลจากอุปกรณ์ที่ถูกบุกรุก
• GELCAPSULE โทรจันที่ใช้สำหรับปลูกมัลแวร์เพิ่มเติมในระบบที่ติดไวรัส
• MILKDRO ซึ่งเป็นแบ็คดอร์ ซึ่งรบกวนการทำงานของ Windows Registry เพื่อให้มีความคงอยู่และทำงานอย่างเงียบเชียบ
• SHUTTERSPEED โทรจันลับๆ ซึ่งสามารถจับภาพหน้าจอ ดูดข้อมูลที่เกี่ยวข้องกับซอฟต์แวร์และฮาร์ดแวร์ของโฮสต์ และปรับใช้มัลแวร์เพิ่มเติมในระบบ
• RICECURRY โค้ดที่เขียนด้วย JavaScript ซึ่งถูกแทรกเข้าไปในเว็บไซต์ที่ถูกไฮแจ็กและใช้สำหรับตรวจสอบลายนิ้วมือของผู้ใช้ที่เข้าชมหน้าเว็บเพื่อตรวจสอบว่าผู้โจมตีควรเรียกใช้มัลแวร์หรือไม่
• SLOWDRIFT โปรแกรมดาวน์โหลดโทรจัน
• RUHAPPY ดิสก์ที่ปัดน้ำฝนที่ใช้ประโยชน์จาก MBR (Master Boot Record) ของฮาร์ดไดรฟ์ของผู้ใช้
• ZUMKONG โปรแกรมขโมยข้อมูลที่เข้ากันได้กับเว็บเบราว์เซอร์ Google Chrome และ Internet Explorer
• SOUNDWAVE เครื่องมือที่สามารถบันทึกเสียง (ผ่านไมโครโฟนที่มีอยู่ในระบบ) แล้วส่งการบันทึกไปยังเซิร์ฟเวอร์ C&C (Command & Control) ของผู้โจมตี

กลุ่มแฮ็ค APT37 ไม่ใช่กลุ่มที่จะถูกมองข้ามอย่างแน่นอน แม้ว่าจะไม่ใช่องค์กรอาชญากรไซเบอร์ชั้นนำในเกาหลีเหนือก็ตาม พวกเขายังคงขยายคลังอาวุธเครื่องมือแฮ็กและเปิดตัวแคมเปญกับเป้าหมายที่มีชื่อเสียงทั่วโลก เพื่อที่เราจะได้รับทราบเกี่ยวกับการติดต่อของพวกเขาต่อไป

APT37 วิดีโอ

เคล็ดลับ: เปิดเสียงของคุณและดูวิดีโอในโหมดเต็มหน้าจอ