Les membres du groupe APT37 n'ont supprimé que rudimentairement leurs données d'attaque collectées. Des experts ont restauré les données et les ont analysées en détail. Ils ont trouvé des chronologies d'activité, du code malveillant et de nombreux indices utiles sur le fonctionnement interne.
Même les cybercriminels stockent des données sur GitHub et oublient de supprimer complètement leurs données. L'équipe Zscaler ThreatLabz a examiné de plus près les outils, techniques et processus (TTP) d'APT37 (alias ScarCruft ou Temp.Reaper), un acteur nord-coréen des menaces persistantes avancées.
Les données d'APT37 montrent la procédure
Au cours de leurs recherches, les chercheurs en sécurité sont tombés sur un référentiel GitHub qu'ils ont attribué à un membre du groupe. Bien que l'auteur de la menace supprime régulièrement les fichiers du référentiel, les analystes de la menace ont pu récupérer et examiner tous les fichiers supprimés. En raison d'une fuite d'informations, ils ont pu accéder à une mine d'informations sur les fichiers malveillants utilisés par ce groupe APT ainsi qu'à la chronologie de leurs activités, remontant à octobre 2020. Le grand nombre d'échantillons identifiés via le référentiel de cet attaquant ne se trouvent pas dans les sources OSINT telles que VirusTotal, apportant ainsi un nouvel éclairage sur les activités et les capacités du groupe.
L'objectif principal est le cyberespionnage
L'objectif principal d'APT37 est le cyberespionnage, qui se fait par l'exfiltration de données de formats de fichiers sélectionnés. Le groupe fait proliférer la "porte dérobée Chinotto" basée sur PowerShell via divers vecteurs d'attaque. Les formats de fichiers utilisés de manière abusive incluent les fichiers d'aide Windows (CHM), HTA, HWP (Hancom Office), XLL (MS Excel Add-in) et les fichiers MS Office basés sur des macros. Le groupe est également impliqué dans des attaques de phishing visant à voler des identifiants.
Ce groupe se concentre principalement sur l'infection d'appareils appartenant à des personnes en Corée du Sud afin d'y mener de l'espionnage et de voler des données. Fait intéressant, il utilise également un complément MS Office Excel pour cela, qui n'a été observé qu'en mars 2023. Cela montre que le groupe évolue constamment et ajoute de nouveaux modèles et techniques d'attaque. Un crochet actuel de la géopolitique, de l'actualité, de l'éducation, de la finance ou de l'assurance est choisi pour propager le malware.
Plus sur Zscaler.com
À propos de Zscaler Zscaler accélère la transformation numérique afin que les clients puissent devenir plus agiles, efficaces, résilients et sécurisés. Zscaler Zero Trust Exchange protège des milliers de clients contre les cyberattaques et la perte de données en connectant en toute sécurité les personnes, les appareils et les applications partout. Le Zero Trust Exchange basé sur SSE est la plus grande plate-forme de sécurité cloud en ligne au monde, distribuée dans plus de 150 centres de données à travers le monde.