APT37

Description de APT37

APT37 (Advanced Persistent Threat) est un groupe de piratage informatique susceptible de fonctionner depuis la Corée du Nord. Les experts spéculent que APT37 pourrait être financé directement par le gouvernement nord-coréen. Ce groupe de piratage est aussi connu sous le nom de ScarCruft. Jusqu'en 2017, APT37 a concentré presque tous ses efforts sur des objectifs situés en Corée du Sud. Toutefois, en 2017, le groupe de piratage informatique a commencé à étendre sa portée et à lancer des campagnes dans d'autres États d'Asie de l'Est tels que le Japon et le Vietnam. APT37 a également des cibles situées au Moyen-Orient. Le groupe de piratage est aussi connu pour collaborer avec d’autres acteurs mal intentionnés.

APT37 est destiné à promouvoir les intérêts de la Corée du Nord et, par conséquent, leurs cibles ont tendance à être très médiatisées. Le groupe de piratage informatique a tendance à cibler les industries liées à la construction automobile, à la fabrication de produits chimiques, à l'aérospatiale, etc.

Méthodes de propagation

Les experts en cybersécurité ont observé les campagnes d'APT37 et ont décrit plusieurs méthodes de propagation, qui sont souvent mises en œuvre:

  • Diffuser de logiciels malveillants via des sites Web de torrents.
  • Lancer des campagnes de courriels de « harponnage ».
  • Utiliser de diverses techniques d'ingénierie sociale pour inciter les utilisateurs à télécharger et à exécuter des fichiers corrompus.
  • Infiltrer des services et des sites Web pour les pirater et les utiliser pour propager des logiciels malveillants.

L'Arsenal d'Outils d'APT37

APT37 est un groupe de piratage informatique disposant d'une grande variété d'outils. Parmi les outils de piratage les plus populaires utilisés par APT37, ce sont:

  • NavRAT, un Cheval de Troie d'Accès à Distance (RAT) qui fournit une longue liste de fonctionnalités.
  • CORALDECK, une menace utilisée pour collecter des fichiers à partir de l'hôte compromis.
  • Karae, un cheval de Troie de porte dérobée qui collecte des données sur le système hôte et permet aux attaquants de déterminer la marche à suivre pour lancer l’attaque.
  • DOGCALL, un cheval de Troie de porte dérobée, qui ressemble à un cheval de Troie d'accès à distance en raison de ses capacités.
  • ROKRAT, un cheval de Troie d'accès à distance qui peut enregistrer de l'audio, détourner des identifiants de connexion, exécuter des commandes à distance, etc.
  • ScarCruft Bluetooth Harvester, une menace basée sur Android qui est utilisée pour collecter des informations à partir du périphérique compromis.
  • GELCAPSULE, un cheval de Troie utilisé pour créer des programmes malveillants supplémentaires sur le système infecté.
  • MILKDRO, une porte dérobée qui altère le registre Windows pour gagner en persistance et qui fonctionne de manière très silencieuse.
  • SHUTTERSPEED, un cheval de Troie de porte dérobée qui peut prendre des captures d’écran, siphonner des informations sur le logiciel et le matériel de l’hôte et déployer des logiciels malveillants supplémentaires sur le système.
  • RICECURRY, un morceau de code écrit en JavaScript, qui est injecté dans les sites Web piratés et qui est utilisé pour vérifier l'empreinte digitale des utilisateurs visitant la page afin de déterminer si les attaquants devraient exécuter le malware ou non.
  • SLOWDRIFT, un téléchargeur de chevaux de Troie.
  • RUHAPPY, un programme dont le but est d'effacer tout sur le disque dur qui exploite le MBR (Master Boot Record) du disque dur de l'utilisateur.
  • ZUMKONG, un voleur d'informations compatible avec les navigateurs Web Google Chrome et Internet Explorer.
  • SOUNDWAVE, un outil capable d’enregistrer de l’audio (via le microphone présent sur le système), puis de l’envoyer au serveur C&C (Commande et Contrôle) des attaquants.

Le groupe de piratage APT37 n’est certainement pas à sous-estimer, bien qu’il ne s’agisse pas de l'une des organisations d'ercrocs informatiques les plus populaires en Corée du Nord. Le groupe continue d'élargir leur arsenal d'outils de piratage et lance des campagnes contre des cibles médiatisées dans le monde entier afin que nous puissions continuer à entendre parler de leurs transactions.

Laisser une Réponse

Veuillez ne pas utiliser ce système de commentaires pour des questions de soutien ou de facturation. Pour les demandes d'assistance technique de SpyHunter, veuillez contacter directement notre équipe d'assistance technique en ouvrant un ticket d'assistance via votre SpyHunter. Pour des problèmes de facturation, veuillez consulter notre page «Questions de facturation ou problèmes?". Pour des renseignements généraux (plaintes, juridique, presse, marketing, droit d’auteur), visitez notre page «Questions et commentaires».