珊瑚泥

眾所周知，朝鮮政府使用黑客服務。最近，除了著名的Lazarus黑客組織之外，還出現了一個新演員，即ScarCruft APT（高級持久威脅）。該黑客組織也通常稱為APT37。他們似乎主要針對高級韓國人。但是，惡意軟件研究人員在中東以及越南和日本發現了APT31活動。 ScarCruft黑客組織可能已於2015年開始運營。

隱身偏好

ScarCruft集團傾向於在運營中特別注意隱身性。 APT37操作的另一個簽名組件是從主機收集重要信息。黑客組織用來收集數據的主要工具之一是CORALDECK惡意軟件。涉及CORALDECK工具的首個活動於2016年前幾個月啟動，並設法將其最高活動水平維持了四個多月。

針對特定的文件類型和文件名

CORALDECK威脅可以歸類為信息竊取者。這個信息竊取者不是一個非常複雜的威脅，ScarCruft黑客組織傾向於與其他黑客工具一起使用它，以實現最大的效率。 CORALDECK信息竊取程序經過專門設計，可以查找不同的文件類型或具有特定名稱的文件。這是一種完全不同的方法，因為大多數信息竊取工具的目標都是敏感信息，例如信用卡詳細信息和登錄憑據。 APT37小組使用的方法使惡意軟件研究人員認為，攻擊者可以瀏覽系統上的文件，選擇想要獲取的文件，然後使用CORALDECK工具獲取目標數據。

存檔收集的數據

在攻擊期間，會向攻擊者的服務器發出HTTP POST請求，這使CORALDECK信息竊取者可以使用硬編碼提取技術來收集感興趣的信息。一旦威脅設法檢索到目標數據，它將被保存在.RAR或.ZIP存檔文件中，該文件由密碼保護。 CORALDECK還帶有WinRAR存檔軟件的便攜式可執行文件。

ScarCruft APT無疑是龐大的黑客工具庫，他們針對高知名度人物的競選活動也使它成為了熱門話題。 APT37由朝鮮政府提供資金這一事實應該引起全世界各國政府的關注，因為這個黑客組織正日益受到越來越多的關注。