APT37 グループのメンバーは、収集した攻撃データを基本的に削除しただけです。 専門家がデータを復元し、詳細に分析しました。 彼らは、活動のタイムライン、悪意のあるコード、および内部の仕組みに関する多くの有用な手がかりを見つけました。
サイバー犯罪者でさえ GitHub にデータを保存し、データを完全に削除するのを忘れています。 Zscaler ThreatLabz チームは、APT37 (ScarCruft または Temp.Reaper とも呼ばれる) のツール、技術、およびプロセス (TTP) を詳しく調べました。
APT37 からのデータは手順を示しています
調査中に、セキュリティ研究者はグループのメンバーに割り当てた GitHub リポジトリに出くわしました。 攻撃者は定期的にリポジトリからファイルを削除しますが、脅威アナリストは削除されたすべてのファイルを取得して調べることができました。 情報漏えいにより、彼らは、この APT グループが使用する悪意のあるファイルに関する豊富な情報と、2020 年 XNUMX 月までさかのぼる活動のタイムラインにアクセスすることができました。 この攻撃者のリポジトリを通じて特定された多数のサンプルは、VirusTotal などの OSINT ソースには含まれていないため、グループの活動と機能に新たな光が当てられます。
主な目的はサイバースパイ活動です
APT37 の主な目的は、特定のファイル形式からデータを盗み出すことによって行われるサイバー スパイ活動です。 このグループは、さまざまな攻撃ベクトルを介して、PowerShell ベースの「ちのっとバックドア」を増殖させます。 悪用されるファイル形式には、Windows ヘルプ ファイル (CHM)、HTA、HWP (Hancom Office)、XLL (MS Excel アドイン)、およびマクロベースの MS Office ファイルが含まれます。 このグループは、資格情報を盗むことを目的としたフィッシング攻撃にも関与しています。
このグループは主に、韓国の人々が所有するデバイスを感染させ、スパイ活動を行ってデータを盗むことに重点を置いています。 興味深いことに、これには MS Office Excel アドインも使用されていますが、これは 2023 年 XNUMX 月にのみ確認されました。 これは、このグループが常に進化し、新しい攻撃パターンとテクニックを追加していることを示しています。 いずれの場合も、地政学、時事問題、教育、金融、または保険からの現在のフックがマルウェアを拡散するために選択されています。
詳細は Zscaler.com をご覧ください
ゼットスケーラーについて Zscaler はデジタル トランスフォーメーションを加速するため、顧客はより機敏で効率的、回復力があり、安全になります。 Zscaler Zero Trust Exchange は、人、デバイス、アプリケーションをどこからでも安全に接続することで、何千もの顧客をサイバー攻撃やデータ損失から保護します。 SSE ベースのゼロ トラスト エクスチェンジは、世界最大のインライン クラウド セキュリティ プラットフォームであり、世界中の 150 以上のデータ センターに分散されています。