Os membros do grupo APT37 excluíram apenas rudimentarmente seus dados de ataque coletados. Os especialistas restauraram os dados e os analisaram em detalhes. Eles encontraram cronogramas de atividades, códigos maliciosos e muitas pistas úteis para o funcionamento interno.
Até os cibercriminosos armazenam dados no GitHub e se esquecem de excluí-los completamente. A equipe do Zscaler ThreatLabz examinou mais de perto as ferramentas, técnicas e processos (TTPs) do APT37 (também conhecido como ScarCruft ou Temp.Reaper), um ator de ameaças avançadas persistentes baseado na Coréia do Norte.
Dados do APT37 mostram o procedimento
Durante a pesquisa, os pesquisadores de segurança encontraram um repositório GitHub que atribuíram a um membro do grupo. Embora o agente da ameaça exclua rotineiramente os arquivos do repositório, os analistas de ameaças conseguiram recuperar e examinar todos os arquivos excluídos. Devido a um vazamento de informações, eles conseguiram acessar muitas informações sobre os arquivos maliciosos usados por esse grupo APT, bem como o cronograma de suas atividades, desde outubro de 2020. O grande número de amostras identificadas por meio do repositório desse invasor não é encontrado em fontes OSINT, como VirusTotal, lançando assim uma nova luz sobre as atividades e capacidades do grupo.
O objetivo principal é a espionagem cibernética
O principal objetivo do APT37 é a espionagem cibernética, que é feita por meio da exfiltração de dados de formatos de arquivo selecionados. O grupo prolifera o "backdoor Chinotto" baseado em PowerShell por meio de vários vetores de ataque. Os formatos de arquivo abusados incluem arquivos de Ajuda do Windows (CHM), HTA, HWP (Hancom Office), XLL (Suplemento do MS Excel) e arquivos do MS Office baseados em macro. O grupo também está envolvido em ataques de phishing projetados para roubar credenciais.
O foco desse grupo é principalmente infectar dispositivos pertencentes a pessoas na Coreia do Sul para realizar espionagem e roubar dados lá. Curiosamente, ele também usa um suplemento do MS Office Excel para isso, o que só foi observado em março de 2023. Isso mostra que o grupo está em constante evolução e agregando novos padrões e técnicas de ataque. Um gancho atual de geopolítica, eventos atuais, educação, finanças ou seguros é escolhido para espalhar o malware.
Mais em Zscaler.com
Sobre Zscaler O Zscaler acelera a transformação digital para que os clientes possam se tornar mais ágeis, eficientes, resilientes e seguros. O Zscaler Zero Trust Exchange protege milhares de clientes contra ataques cibernéticos e perda de dados, conectando com segurança pessoas, dispositivos e aplicativos em qualquer lugar. O Zero Trust Exchange baseado em SSE é a maior plataforma de segurança em nuvem em linha do mundo, distribuída em mais de 150 data centers em todo o mundo.