人们发现这个国家资助的黑客组织正在监视受害者并收集大量敏感数据。
朝鲜黑客组织 APT37 使用高度可定制的恶意软件对相关人士发起攻击,其中包括人权活动人士、记者和朝鲜叛逃者。
该组织也被称为 ScarCruft 和 Reaper,利用短信诈骗(假装来自信誉良好的公司的虚假短信)和鱼叉式网络钓鱼(假装来自可信发件人的虚假电子邮件)活动,将名为 Chinotto 的恶意软件传播到 Windows 和 Android 设备上。
一个团队卡巴斯基研究人员发现了最近的 APT37 活动。黑客组织能够部署恶意软件,随后获得对受感染设备的控制权,并收集用户数据,这些数据最终将被发送回黑客拥有的服务器。据称,APT37 还能够通过屏幕截图监视用户并分发新的有效负载。
APT37、ScarCruft、收割者
自 2012 年以来,APT37 一直是臭名昭著的国际威胁,美国网络安全公司 FireEye 自信地将该组织与朝鲜政府联系起来。
有针对性的攻击
APT37 组织主要针对朝鲜叛逃者和报道该政权的记者,尽管任何被朝鲜政府指定为感兴趣人员的个人都可能被标记为监视对象。
在卡巴斯基对最近的 Chinotto 攻击进行调查期间,该团队发现黑客在第一次入侵后不久就在受害者的设备上安装了后门 - 在一个实例中,黑客等待了长达六个月的时间才安装 Chinotto 恶意软件。
一旦安装,该恶意软件就允许黑客从属于受害者的设备访问个人数据,此外,受害者还受到数月的监视。卡巴斯基的报告证实,Chinotto 攻击背后的操作者提取了 2021 年 8 月 6 日至 9 月 8 日期间的屏幕截图。
鉴于恶意软件的可定制性,APT37 黑客可以创建自定义变体来欺骗受害者并逃避检测。卡巴斯基研究人员甚至发现了多个有效负载被部署到同一受感染设备的证据。
在攻击中获得的敏感信息被发送到主要位于韩国的网络服务器。 Chinotto 能够从 Windows 和 Android 设备收集数量惊人的信息,包括短信、通话记录、录音和联系方式,然后可用于开展诈骗活动。
众所周知,APT37 利用被盗凭证通过文本、电子邮件和社交媒体来瞄准新的受害者,并使毁灭性的网络犯罪循环持续下去。
新兴威胁
卡巴斯基通过“为人权活动人士和朝鲜叛逃者提供支持,以对抗试图监视和追踪他们的行为者”,对 APT37 活动进行了研究。不幸的是,像这样的例子是在朝鲜太常见了,并且经常影响那些没有手段或工具来防御阴险网络攻击的个人。
直到最近,APT37 一直比其他朝鲜黑客组织保持低调——其中最臭名昭著的是 Lazarus。拉扎勒斯在过去几年中实施了多起激进的数字盗窃案,其中包括备受瞩目的对索尼影业的攻击2014年。
然而,虽然 APT37 目前不像 Lazarus 那样出名,但没有理由认为该组织的技术水平或野心较低——事实上,自 2017 年以来,该组织的目标是与联合国制裁执行有关的日本组织以及一家与朝鲜政府发生激烈纠纷的中东企业。
在朝鲜政权的支持下,该黑客组织很可能会被引导到几个特定的目的,而这些目的将随着压迫性国家的利益而不断发展。