APT37

APT37 (Mối đe dọa liên tục nâng cao) là một nhóm hack có khả năng hoạt động từ Bắc Triều Tiên. Các chuyên gia suy đoán rằng APT37 có thể được tài trợ trực tiếp bởi chính phủ Triều Tiên. Nhóm hack này còn được gọi là ScarCruft. Cho đến năm 2017 APT37 đã tập trung gần như toàn bộ nỗ lực của họ vào các mục tiêu nằm ở Hàn Quốc. Tuy nhiên, vào năm 2017, nhóm hack bắt đầu mở rộng phạm vi hoạt động và bắt đầu triển khai các chiến dịch ở các quốc gia Đông Á khác như Nhật Bản và Việt Nam. APT37 cũng đã có các mục tiêu đặt tại Trung Đông. Nhóm hack cũng được biết là hợp tác với những kẻ xấu xa khác.

APT37 nhằm mục đích hướng tới các lợi ích xa hơn của Triều Tiên, và do đó các mục tiêu của họ có xu hướng cao. Nhóm hack có xu hướng nhắm mục tiêu vào các ngành liên quan đến sản xuất ô tô, sản xuất hóa chất, hàng không vũ trụ, v.v.

Phương pháp truyền bá

Các chuyên gia an ninh mạng đã quan sát các chiến dịch của APT37 và đã vạch ra một số phương pháp truyền bá thường được thực hiện:

• Phát tán phần mềm độc hại qua các trang web torrent.
• Khởi chạy các chiến dịch email lừa đảo trực tuyến.
• Sử dụng các kỹ thuật xã hội khác nhau để lừa người dùng tải xuống và thực thi các tệp bị hỏng.
• Xâm nhập các dịch vụ và trang web để chiếm quyền điều khiển và sử dụng chúng để phát tán phần mềm độc hại.

Kho công cụ của APT37

APT37 là một nhóm hack với nhiều loại công cụ theo ý của họ. Trong số các công cụ hack phổ biến hơn được sử dụng bởi APT37 là:

• NavRAT, một Trojan RAT hoặc Truy cập Từ xa, gói một danh sách dài các tính năng.
• CORALDECK, một mối đe dọa được sử dụng để thu thập tệp từ máy chủ bị xâm phạm.
• Karae, một Trojan cửa sau thu thập dữ liệu về hệ thống máy chủ và cho phép những kẻ tấn công xác định cách tiến hành cuộc tấn công.
• DOGCALL, một Trojan cửa sau, giống như RAT do các khả năng của nó.
• ROKRAT , một RAT có thể ghi lại âm thanh, lấy cắp thông tin đăng nhập, thực hiện các lệnh từ xa, v.v.
• ScarCruft Bluetooth Harvester, một mối đe dọa dựa trên Android được sử dụng để thu thập thông tin từ thiết bị bị xâm phạm.
• GELCAPSULE, một loại Trojan được sử dụng để gieo thêm phần mềm độc hại vào hệ thống bị nhiễm.
• MILKDRO, một backdoor, can thiệp vào Windows Registry để đạt được sự bền bỉ và hoạt động rất âm thầm.
• SHUTTERSPEED, một Trojan cửa sau, có thể chụp ảnh màn hình, lấy thông tin liên quan đến phần mềm và phần cứng của máy chủ, đồng thời triển khai phần mềm độc hại bổ sung trên hệ thống.
• RICECURRY, một đoạn mã được viết bằng JavaScript, được đưa vào các trang web bị tấn công và được sử dụng để kiểm tra dấu vân tay của người dùng truy cập trang để xác định xem những kẻ tấn công có nên thực thi phần mềm độc hại hay không.
• SLOWDRIFT, một trình tải xuống Trojan.
• RUHAPPY, một trình xóa đĩa khai thác MBR (Bản ghi khởi động chính) của ổ cứng của người dùng.
• ZUMKONG, một tin tức tương thích với các trình duyệt Web Google Chrome và Internet Explorer.
• SOUNDWAVE, một công cụ có khả năng ghi lại âm thanh (thông qua micrô có trên hệ thống) và sau đó gửi bản ghi âm đến máy chủ C&C (Command & Control) của những kẻ tấn công.

Nhóm hack APT37 chắc chắn không thể bị đánh giá thấp, mặc dù chúng không phải là tổ chức gian lận mạng hàng đầu ở Triều Tiên. Họ tiếp tục mở rộng kho công cụ hack của mình và khởi động các chiến dịch chống lại các mục tiêu nổi tiếng trên khắp thế giới để chúng tôi có thể sẽ tiếp tục nghe về các giao dịch của họ.

APT37 Video

Mẹo: BẬT âm thanh của bạn và xem video ở chế độ Toàn màn hình .