I membri del gruppo APT37 hanno cancellato solo in modo rudimentale i dati sugli attacchi raccolti. Gli esperti hanno ripristinato i dati e li hanno analizzati in dettaglio. Hanno trovato tempistiche di attività, codice dannoso e molti indizi utili sul funzionamento interno.
Anche i criminali informatici memorizzano i dati su GitHub e dimenticano di eliminare completamente i propri dati. Il team di Zscaler ThreatLabz ha esaminato più da vicino gli strumenti, le tecniche e i processi (TTP) di APT37 (noto anche come ScarCruft o Temp.Reaper), un attore di minacce Advanced Persistent Threats con sede in Corea del Nord.
I dati di APT37 mostrano la procedura
Durante la loro ricerca, i ricercatori di sicurezza si sono imbattuti in un repository GitHub che hanno assegnato a un membro del gruppo. Sebbene l'autore della minaccia elimini regolarmente i file dal repository, gli analisti delle minacce sono stati in grado di recuperare ed esaminare tutti i file eliminati. A causa di una fuga di informazioni, sono stati in grado di accedere a una vasta gamma di informazioni sui file dannosi utilizzati da questo gruppo APT, nonché alla sequenza temporale delle loro attività, risalente a ottobre 2020. Il gran numero di campioni identificati attraverso il repository di questo aggressore non si trova nelle fonti OSINT come VirusTotal, gettando così nuova luce sulle attività e le capacità del gruppo.
L'obiettivo principale è lo spionaggio informatico
L'obiettivo principale di APT37 è lo spionaggio informatico, che viene eseguito attraverso l'esfiltrazione di dati di formati di file selezionati. Il gruppo prolifera la "backdoor Chinotto" basata su PowerShell tramite vari vettori di attacco. I formati di file abusati includono file della Guida di Windows (CHM), HTA, HWP (Hancom Office), XLL (componente aggiuntivo MS Excel) e file MS Office basati su macro. Il gruppo è anche coinvolto in attacchi di phishing progettati per rubare le credenziali.
L'obiettivo di questo gruppo è principalmente quello di infettare dispositivi di proprietà di persone in Corea del Sud al fine di condurre spionaggio e rubare dati lì. È interessante notare che utilizza anche un componente aggiuntivo MS Office Excel per questo, che è stato osservato solo nel marzo 2023. Ciò dimostra che il gruppo è in continua evoluzione e aggiunge nuovi modelli e tecniche di attacco. Per diffondere il malware viene scelto un gancio corrente di geopolitica, attualità, istruzione, finanza o assicurazioni.
Altro su Zscaler.com
A proposito di Zscaler Zscaler accelera la trasformazione digitale in modo che i clienti possano diventare più agili, efficienti, resilienti e sicuri. Zscaler Zero Trust Exchange protegge migliaia di clienti da attacchi informatici e perdita di dati collegando in modo sicuro persone, dispositivi e applicazioni ovunque. Zero Trust Exchange basato su SSE è la più grande piattaforma di sicurezza cloud in linea al mondo, distribuita in oltre 150 data center in tutto il mondo.