Члени групи APT37 лише елементарно видалили зібрані дані про атаки. Фахівці відновили дані та детально їх проаналізували. Вони виявили графіки активності, шкідливий код і багато корисних підказок щодо внутрішньої роботи.
Навіть кіберзлочинці зберігають дані на GitHub і забувають повністю видалити їх. Команда Zscaler ThreatLabz ближче ознайомилася з інструментами, методами та процесами (TTP) APT37 (він же ScarCruft або Temp.Reaper), північнокорейського агента Advanced Persistent Threats.
Дані з APT37 показують процедуру
Під час свого дослідження дослідники безпеки натрапили на репозиторій GitHub, який вони призначили члену групи. Хоча зловмисник регулярно видаляє файли зі сховища, аналітики загроз змогли відновити та перевірити всі видалені файли. Через витік інформації вони змогли отримати доступ до величезної кількості інформації про шкідливі файли, які використовує ця група APT, а також графік їхньої діяльності, починаючи з жовтня 2020 року. Велика кількість зразків, ідентифікованих через репозиторій цього зловмисника, не знайдена в джерелах OSINT, таких як VirusTotal, що проливає нове світло на діяльність і можливості групи.
Головна мета – кібершпигунство
Основною метою APT37 є кібершпигунство, яке здійснюється шляхом викрадання даних вибраних форматів файлів. Група поширює «бекдор Chinotto» на основі PowerShell за допомогою різних векторів атак. Зловживані формати файлів включають файли довідки Windows (CHM), HTA, HWP (Hancom Office), XLL (надбудова MS Excel) і файли MS Office на основі макросів. Група також бере участь у фішингових атаках, призначених для викрадення облікових даних.
Основна увага цієї групи зосереджена на зараженні пристроїв, що належать людям у Південній Кореї, з метою шпигунства та крадіжки даних там. Цікаво, що він також використовує для цього надбудову MS Office Excel, яка спостерігалася лише в березні 2023 року. Це свідчить про те, що група постійно розвивається та додає нові схеми та техніки атак. Для розповсюдження зловмисного програмного забезпечення вибирається поточний гачок із геополітики, поточних подій, освіти, фінансів чи страхування.
Більше на Zscaler.com
Про Zscaler Zscaler прискорює цифрову трансформацію, щоб клієнти могли стати більш гнучкими, ефективними, стійкими та безпечними. Zscaler Zero Trust Exchange захищає тисячі клієнтів від кібератак і втрати даних, безпечно підключаючи людей, пристрої та програми будь-де. Zero Trust Exchange на базі SSE є найбільшою у світі вбудованою хмарною платформою безпеки, розподіленою в понад 150 центрах обробки даних по всьому світу.