Security Lab

APT37

Предположительно команда правительственных хакеров из Северной Кореи. Другие возможные названия: Group123, ScarCruft, Reaper. Принадлежность к Северной Корее выдают IP-адреса, временные метки (UTC +8:30) и выбор зарубежных целей, явно отражающий изменения во внешней политике КНДР.

APT37 действует по меньшей мере с 2012 года и нацеливается на государственный и частный секторы, главным образом в Южной Корее. В 2017 году APT37 расширила свою деятельность за пределы Корейского полуострова, охватив Японию, Вьетнам и Ближний Восток, а также более широкий спектр отраслей промышленности, включая химическую, электронную, производственную, аэрокосмическую, автомобильную и медицинскую.

Основные техники APT37:

  • Распространение вредоносных программ через торрент-сайты.
  • Запуск целевого фишинга по электронной почте.
  • Использование различных методов социальной инженерии, чтобы заставить пользователей загружать и запускать поврежденные файлы.
  • Проникновение в службы и веб-сайты с целью их захвата и использования для распространения вредоносных программ.
article-title

Вооружены Konni RAT и очень опасны: северокорейская APT37 атакует крупные европейские компании

Исследователи назвали вредоносную кампанию STIFF#BIZON.

article-title

Группировка APT37 атакует журналистов КНДР с помощью GOLDBACKDOOR

новая вредоносная программа является преемником бэкдора BLUELIGHT

article-title

Стали известны подробности о деятельности группировки APT37

Цели APT37 предположительно совпадают с военными, политическими и экономическими интересами Северной Кореи.