Los miembros del grupo APT37 solo han eliminado rudimentariamente sus datos de ataque recopilados. Los expertos restauraron los datos y los analizaron en detalle. Encontraron líneas de tiempo de actividad, código malicioso y muchas pistas útiles sobre el funcionamiento interno.
Incluso los ciberdelincuentes almacenan datos en GitHub y se olvidan de eliminarlos por completo. El equipo de Zscaler ThreatLabz analizó más de cerca las herramientas, técnicas y procesos (TTP) de APT37 (también conocido como ScarCruft o Temp.Reaper), un actor de amenazas de Advanced Persistent Threats con sede en Corea del Norte.
Los datos de APT37 muestran el procedimiento
Durante su investigación, los investigadores de seguridad encontraron un repositorio de GitHub que asignaron a un miembro del grupo. Aunque el actor de amenazas elimina los archivos del repositorio de forma rutinaria, los analistas de amenazas pudieron recuperar y examinar todos los archivos eliminados. Debido a una fuga de información, pudieron acceder a una gran cantidad de información sobre los archivos maliciosos utilizados por este grupo APT, así como la cronología de sus actividades, que se remonta a octubre de 2020. La gran cantidad de muestras identificadas a través del repositorio de este atacante no se encuentran en fuentes OSINT como VirusTotal, lo que arroja nueva luz sobre las actividades y capacidades del grupo.
El objetivo principal es el ciberespionaje.
El objetivo principal de APT37 es el espionaje cibernético, que se realiza mediante la exfiltración de datos de formatos de archivo seleccionados. El grupo propaga la "puerta trasera Chinotto" basada en PowerShell a través de varios vectores de ataque. Los formatos de archivo abusados incluyen archivos de ayuda de Windows (CHM), HTA, HWP (Hancom Office), XLL (complemento de MS Excel) y archivos de MS Office basados en macros. El grupo también está involucrado en ataques de phishing diseñados para robar credenciales.
El enfoque de este grupo es principalmente infectar dispositivos propiedad de personas en Corea del Sur para realizar espionaje y robar datos allí. Curiosamente, también utiliza un complemento de MS Office Excel para esto, que solo se observó en marzo de 2023. Esto demuestra que el grupo está en constante evolución y añadiendo nuevos patrones y técnicas de ataque. En cada caso, se elige un gancho actual de la geopolítica, la actualidad, la educación, las finanzas o los seguros para propagar el malware.
Más en Zscaler.com
Acerca de Zscaler Zscaler acelera la transformación digital para que los clientes puedan volverse más ágiles, eficientes, resilientes y seguros. Zscaler Zero Trust Exchange protege a miles de clientes de ataques cibernéticos y pérdida de datos al conectar personas, dispositivos y aplicaciones de forma segura en cualquier lugar. Zero Trust Exchange basado en SSE es la plataforma de seguridad en la nube en línea más grande del mundo, distribuida en más de 150 centros de datos en todo el mundo.