当前位置:安全资讯 >> 全文

蛰伏多时的朝鲜黑客组织 APT 37浮出水面

发布时间:2018-2-22 7:45 标签: 朝鲜,APT37 火眼
分享到 0

火眼公司发布报告称,出现在2012年的一个朝鲜黑客组织五年多来一直仅针对韩国政府机构和朝鲜背叛者,如今在国际舞台上越来越活跃。

Lazarus 组织的小兄弟

火眼公司将这个组织称作 APT 37(也称作 Reaper),而其它公司将其命名为 Group 123(思科 Talos 团队)”、FreeMilkPalo Alto 公司)、或 StarCruftOperation DaybreakOperation Erebus(卡巴斯基实验室)。

APT 37 一直都非常活跃,但由于它仅针对韩国和朝鲜背叛者,因此尚未引起像 Lazarus 黑客组织那样的大规模的媒体跟踪报道。毕竟后者曾攻击索尼影业和全球多家银行,而 APT 37 仅攻击朝鲜背叛者和一些韩国政府机构。

攻击范围拓展至全球

Lazarus 黑客组织现在将在媒体关注度方面遭遇强劲对手,因为 APT 37 已将攻击范围扩展至全球。

APT 37 组织在2017年和2018年新增的攻击目标包括位于日本、越南和很多中东国家的企业和政府机构。火眼公司表示朝鲜和位于越南和中东地区的商业交易失败后,APT 37 马上发动了攻击。

APT 37 和朝鲜之间很可能存在关联

事实上,火眼公司的报告之所以脱颖而出,是因为报告公开指责朝鲜政府支持 APT 37组织。

报告指出,“毋庸置疑,这次活动是代表朝鲜政府发动的。我们认为 APT 37 组织的主要任务是收集秘密情报以支持朝鲜的战略性军事、政治和经济利益。”另外,报告认为,“这是基于对韩国公共和私有实体以及社工持续实施针对性攻击之上的,APT 37 组织最近攻击目标的扩展似乎和朝鲜的战略利益之间存在直接关联。”

一家网络安全公司以如此大胆的方式如此轻易地将黑客攻击归结于某个国家的做法非常罕见。而火眼公司这么做也是因为 APT 37 组织成员暴露的行动错误导致的。

火眼公司表示,APT 37 组织的一名黑客成员无可避免地遭恶意软件感染,导致他的个人详情被一个火眼公司可访问的命令和控制服务器收集。服务器收集的详情显示朝鲜是一切攻击行动的中心。

另外,APT 37 创建多种恶意软件家族的编译时间也和朝鲜的时区一致,而该组织痴迷于针对韩国和朝鲜背叛者的攻击也证实了火眼公司的判断。

APT 37创建多种自定义恶意软件

在技术层面,APT 37也并非等闲之辈。六年来,该组织创建了多种恶意软件家族,它是本月初利用 Adobe Flash 播放器 0day 漏洞的幕后黑手。

火眼公司发布的报告详细说明了 APT 37 如何经常利用 Flash 的多个漏洞感染目标以及他们如何针对不同目标改变攻击方法。

APT 37 组织多年来创建了多款恶意软件家族,如后门、数据擦除器等。他们还使用了不断变化的基础设施,依靠 AOL 即时通讯工具、pCloud Dropbox 当作命令和控制服务器,并且依靠鱼叉式钓鱼攻击、被黑网站和种子文件传播恶意 payload

APT 37 组织创建的恶意软件和利用武器库也值得关注,它是多款构建精良的工具的作者,如:

l  CORALDECK:一款信息窃取工具,从安全网络中的 WinRAR WinImage受密码保护文档中窃取数据。

l  DOGCALL:一款强大的 RAT,也被称为 ROKRAT

l  GELCAPSULE:第一阶段恶意软件下载器。

l  HAPPWORK:另外一款第一阶段恶意软件下载器,能够下载并安装其它恶意软件。多数出现在2016年。

l  KARAE:一个后门木马,同时也是其它 payload 的恶意软件下载器。使用云存储提供商作为命令和控制系统。

l  MILKDROP:设置持续性注册表键并启动后门的启动器。

l  POORAIM:使用 AOL 即时通讯工具作为命令和控制服务器的后门,也可用于提取数据。

l  RICECURRY:一款基于 JavaScript 的分析器,用于为受害者 web 浏览器录取指纹以传播恶意代码。

l  RUHAPPY:一款数据擦除器,能腹泻 MBR 并在屏幕上打印 Are you happy?,通常和 DOGCALL 部署,但从未使用过。

l  SHUTTERSPEED:也可提取数据的一款后门木马。

l  SLOWDRIFT:用于其它恶意软件的第一阶段下载器以及启动器。也使用云服务作为命令和控制服务器。

l  SOUNDWAVE:一款基于 Windows 的音频捕获工具。

l  ZUMKONG:针对 IE Chrome 浏览器的一款凭证泄露工具。

l  WINERACK:一款创建远程 shell 的后门。

APT37-tools.webp.jpg

APT37-attacks.webp.jpg

图:CVE发布日期和 APT 37 CVE 利用日期的时间轴

 

    总体而言,APT37 组织似乎是在 Lazarus 组织的行动消逝之际扩展了攻击范围。火眼公司认为,随着朝鲜政府面临的国际制裁和政治压力越来越大,APT 37 组织将会越来越活跃。

本文由360代码卫士编译,不代表360观点,转载请注明“转自360代码卫士www.codesafe.cn”。
原文链接:https://www.bleepingcomputer.com/news/security/a-new-north-korean-hacker-group-is-making-a-name-for-itself/
参与讨论,请先 登录 | 注册

用户评论