APT37

APT37 (Advanced Persistent Threat) — це хакерська група, яка, ймовірно, працює з Північної Кореї. Експерти припускають, що APT37 може фінансуватися безпосередньо урядом Північної Кореї. Ця хакерська група також відома як ScarCruft. До 2017 року APT37 зосереджувала майже всі свої зусилля на цілях, розташованих у Південній Кореї. Однак у 2017 році хакерська група почала розширювати охоплення та розпочала кампанії в інших країнах Східної Азії, таких як Японія та В’єтнам. APT37 також мав цілі на Близькому Сході. Відомо також, що хакерська група співпрацює з іншими недоброзичливцями.

APT37 призначений для підтримки інтересів Північної Кореї, і, отже, їхні цілі, як правило, мають високу оцінку. Хакерська група, як правило, націлена на галузі, пов’язані з виробництвом автомобілів, хімічним виробництвом, аерокосмічним виробництвом тощо.

Способи розмноження

Експерти з кібербезпеки спостерігали за кампаніями APT37 і окреслили кілька методів поширення, які часто застосовуються:

• Поширення шкідливих програм через торрент-сайти.
• Запуск електронних кампаній з фішингом.
• Використання різних методів соціальної інженерії, щоб обманом змусити користувачів завантажити та виконати пошкоджені файли.
• Проникнення в служби та веб-сайти, щоб захопити їх і використовувати для поширення шкідливих програм.

Арсенал інструментів APT37

APT37 — це хакерська група, у розпорядженні якої є широкий спектр інструментів. Серед найбільш популярних інструментів злому, які використовує APT37:

• NavRAT, троян RAT або віддаленого доступу, який містить довгий список функцій.
• CORALDECK, загроза, яка використовується для збору файлів із зламаного хоста.
• Karae, бекдор-троян, який збирає дані про хост-систему і дає змогу зловмисникам визначити, як продовжити атаку.
• DOGCALL, бекдор-троян, який за своїми можливостями нагадує RAT.
• ROKRAT , RAT, який може записувати аудіо, викрадати облікові дані для входу, виконувати віддалені команди тощо.
• ScarCruft Bluetooth Harvester, загроза на базі Android, яка використовується для збору інформації зі зламаного пристрою.
• GELCAPSULE, троян, який використовується для розміщення додаткових шкідливих програм в зараженій системі.
• MILKDRO, бекдор, який змінює реєстр Windows, щоб отримати стійкість, і працює дуже тихо.
• SHUTTERSPEED, бекдор-троян, який може робити знімки екрана, викачувати інформацію про програмне та апаратне забезпечення хоста, а також розгортати додаткове шкідливе програмне забезпечення в системі.
• RICECURRY, фрагмент коду, написаний на JavaScript, який впроваджується на захоплені веб-сайти і використовується для перевірки відбитків пальців користувачів, які відвідують сторінку, щоб визначити, чи слід зловмисникам запускати зловмисне програмне забезпечення чи ні.
• SLOWDRIFT, троян для завантаження.
• RUHAPPY, засіб очищення диска, який використовує MBR (головний завантажувальний запис) жорсткого диска користувача.
• ZUMKONG, інфозкрадач, сумісний із веб-браузерами Google Chrome та Internet Explorer.
• SOUNDWAVE, інструмент, який здатний записувати аудіо (через наявний у системі мікрофон), а потім надсилати запис на сервер C&C (Command & Control) зловмисників.

Хакерську групу APT37, безумовно, не варто недооцінювати, незважаючи на те, що вона не є провідною організацією кібер-шахраїв у Північній Кореї. Вони продовжують розширювати свій арсенал хакерських інструментів і запускають кампанії проти високопоставлених цілей по всьому світу, щоб ми, ймовірно, продовжували чути про їхні дії.

APT37 Відео

Порада. Увімкніть звук і дивіться відео в повноекранному режимі .