APT37 समूह के सदस्यों ने अपने एकत्र किए गए हमले के डेटा को केवल प्रारंभिक रूप से हटाया है। विशेषज्ञों ने डेटा को पुनर्स्थापित किया और इसका विस्तार से विश्लेषण किया। उन्हें गतिविधि की समयसीमा, दुर्भावनापूर्ण कोड और आंतरिक कामकाज के लिए उपयोगी सुराग मिले।
यहां तक कि साइबर अपराधी भी गिटहब पर डेटा स्टोर करते हैं और अपने डेटा को पूरी तरह से हटाना भूल जाते हैं। Zscaler ThreatLabz टीम ने APT37 (उर्फ स्कारक्राफ्ट या Temp.Reaper) के उपकरणों, तकनीकों और प्रक्रियाओं (TTPs) पर करीब से नज़र डाली, जो उत्तर कोरिया स्थित उन्नत पर्सिस्टेंट थ्रेट्स थ्रेट अभिनेता है।
APT37 का डेटा प्रक्रिया दिखाता है
अपने शोध के दौरान, सुरक्षा शोधकर्ता एक GitHub रिपॉजिटरी में आए, जिसे उन्होंने समूह के एक सदस्य को सौंपा था। हालांकि खतरा अभिनेता नियमित रूप से रिपॉजिटरी से फाइलों को हटा देता है, लेकिन खतरे के विश्लेषक सभी हटाई गई फाइलों को पुनः प्राप्त करने और जांच करने में सक्षम थे। सूचना लीक होने के कारण, वे इस APT समूह द्वारा उपयोग की जाने वाली दुर्भावनापूर्ण फ़ाइलों के साथ-साथ अक्टूबर 2020 तक की अपनी गतिविधियों की समय-सीमा के बारे में जानकारी का खजाना एक्सेस करने में सक्षम थे। इस हमलावर के रिपॉजिटरी के माध्यम से बड़ी संख्या में पहचाने गए नमूने OSINT स्रोतों जैसे कि VirusTotal में नहीं पाए जाते हैं, जिससे समूह की गतिविधियों और क्षमताओं पर नई रोशनी पड़ती है।
मुख्य लक्ष्य साइबर जासूसी है
APT37 का मुख्य लक्ष्य साइबर जासूसी है, जो चयनित फ़ाइल स्वरूपों के डेटा एक्सफिल्ट्रेशन के माध्यम से किया जाता है। समूह विभिन्न आक्रमण वैक्टरों के माध्यम से पॉवरशेल-आधारित "चिनोटो बैकडोर" का प्रसार करता है। दुरुपयोग किए गए फ़ाइल स्वरूपों में Windows सहायता फ़ाइलें (CHM), HTA, HWP (Hancom Office), XLL (MS Excel ऐड-इन), और मैक्रो-आधारित MS Office फ़ाइलें शामिल हैं। समूह फ़िशिंग हमलों में भी शामिल है जो क्रेडेंशियल्स चुराने के लिए डिज़ाइन किए गए हैं।
इस समूह का ध्यान मुख्य रूप से जासूसी करने और वहां डेटा चोरी करने के लिए दक्षिण कोरिया में लोगों के स्वामित्व वाले उपकरणों को संक्रमित करने पर है। दिलचस्प बात यह है कि यह इसके लिए एमएस ऑफिस एक्सेल ऐड-इन का भी इस्तेमाल करता है, जिसे मार्च 2023 में ही देखा गया था। इससे पता चलता है कि समूह लगातार विकसित हो रहा है और हमले के नए पैटर्न और तकनीकों को जोड़ रहा है। मैलवेयर फैलाने के लिए भू-राजनीति, वर्तमान घटनाओं, शिक्षा, वित्त या बीमा से एक मौजूदा हुक चुना जाता है।
Zscaler.com पर अधिक
ZScaler के बारे में Zscaler डिजिटल परिवर्तन को तेज करता है ताकि ग्राहक अधिक चुस्त, कुशल, लचीला और सुरक्षित बन सकें। Zscaler Zero Trust Exchange कहीं भी लोगों, उपकरणों और एप्लिकेशन को सुरक्षित रूप से कनेक्ट करके हजारों ग्राहकों को साइबर हमले और डेटा हानि से बचाता है। एसएसई-आधारित ज़ीरो ट्रस्ट एक्सचेंज दुनिया का सबसे बड़ा इनलाइन क्लाउड सुरक्षा मंच है, जो दुनिया भर के 150+ डेटा केंद्रों में वितरित किया जाता है।