Стали известны подробности о деятельности группировки APT37

image

Теги: Северная Корея, хакеры, APT37

Цели APT37 предположительно совпадают с военными, политическими и экономическими интересами Северной Кореи.

Малоизвестная хакерская группировка APT37, предположительно связанная с северокорейским правительством, расширила масштабы своих вредоносных кампаний, а в ее арсенале появились новые инструменты, следует из отчета компании по кибербезопасности FireEye.

Группировка APT37 также известная как Reaper, Group123 и ScarCruft работает по меньшей мере с 2012 года. Ранее хакеры обратили на себя внимание исследователей безопасности, проведя серию кибератак, в которых эксплуатировалась уязвимость нулевого дня в Adobe Flash Player.

Цели APT37 предположительно совпадают с военными, политическими и экономическими интересами Северной Кореи. Главным образом деятельность группировки сосредоточена на государственных и частных структурах в Южной Корее, включая правительственные, оборонные, военные и медиа-организации.

Согласно отчету, в 2017 году APT37 расширила географию своих атак на Японию, Вьетнам и Ближний Восток. В список целей группировки входят организации в области химической, обрабатывающей, автомобильной и аэрокосмической промышленности, а также компании, работающие в сфере здравоохранения.

Одной из жертв хакеров на Ближнем Востоке стал поставщик телекоммуникационных услуг, который должен был заключить соглашение с правительством Северной Кореи. После того, как сделка сорвалась, APT37 атаковала ближневосточную компанию, предположительно, пытаясь собрать информацию.

APT37 эксплуатирует ряд уязвимостей в Flash Player и корейском текстовом редакторе Hangul Word Processor для доставки различных типов вредоносных программ, включая вредонос RUHAPPY, инструмент для проникновения CORALDECK, загрузчики GELCAPSULE и HAPPYWORK, установщики MILKDROP и SLOWDRIFT, программу для хищения информации ZUMKONG, инструмент для захвата звука SOUNDWAVE, а также множество различных бэкдоров, в том числе DOGCALL, KARAE, POORAIM, WINERACK и SHUTTERSPEED.

Вредоносное ПО распространяется с помощью методов социальной инженерии, атак watering hole и даже торрент-сайтов.

Атака watering hole - тип кибератаки на предприятие или отрасль, когда заражается сайт, часто посещаемый сотрудниками данного предприятия.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.