人們發現這個國家資助的黑客組織正在監視受害者並收集大量敏感數據。
朝鮮黑客組織 APT37 使用高度可定制的惡意軟件對相關人士發起攻擊,其中包括人權活動人士、記者和朝鮮叛逃者。
該組織也被稱為 ScarCruft 和 Reaper,利用短信詐騙(假裝來自信譽良好的公司的虛假短信)和魚叉式網絡釣魚(假裝來自可信發件人的虛假電子郵件)活動,將名為 Chinotto 的惡意軟件傳播到 Windows 和 Android 設備上。
一個團隊卡巴斯基研究人員發現了最近的 APT37 活動。黑客組織能夠部署惡意軟件,隨後獲得對受感染設備的控制權,並收集用戶數據,這些數據最終將被發送回黑客擁有的服務器。據稱,APT37 還能夠通過屏幕截圖監視用戶並分發新的有效負載。
APT37、ScarCruft、收割者
自 2012 年以來,APT37 一直是臭名昭著的國際威脅,美國網絡安全公司 FireEye 自信地將該組織與朝鮮政府聯繫起來。
有針對性的攻擊
APT37 組織主要針對朝鮮叛逃者和報導該政權的記者,儘管任何被朝鮮政府指定為感興趣人員的個人都可能被標記為監視對象。
在卡巴斯基對最近的 Chinotto 攻擊進行調查期間,該團隊發現黑客在第一次入侵後不久就在受害者的設備上安裝了後門 - 在一個實例中,黑客等待了長達六個月的時間才安裝 Chinotto 惡意軟件。
一旦安裝,該惡意軟件就允許黑客從屬於受害者的設備訪問個人數據,此外,受害者還受到數月的監視。卡巴斯基的報告證實,Chinotto 攻擊背後的操作者提取了 2021 年 8 月 6 日至 9 月 8 日期間的屏幕截圖。
鑑於惡意軟件的可定制性,APT37 黑客可以創建自定義變體來欺騙受害者並逃避檢測。卡巴斯基研究人員甚至發現了多個有效負載被部署到同一受感染設備的證據。
在攻擊中獲得的敏感信息被發送到主要位於韓國的網絡服務器。 Chinotto 能夠從 Windows 和 Android 設備收集數量驚人的信息,包括短信、通話記錄、錄音和聯繫方式,然後可用於開展詐騙活動。
眾所周知,APT37 利用被盜憑證通過文本、電子郵件和社交媒體來瞄準新的受害者,並使毀滅性的網絡犯罪循環持續下去。
新興威脅
卡巴斯基通過“為人權活動人士和朝鮮叛逃者提供支持,以對抗試圖監視和追踪他們的行為者”,對 APT37 活動進行了研究。不幸的是,像這樣的例子是在朝鮮太常見了,並且經常影響那些沒有手段或工具來防禦陰險網絡攻擊的個人。
直到最近,APT37 一直比其他朝鮮黑客組織保持低調——其中最臭名昭著的是 Lazarus。拉扎勒斯在過去幾年中實施了多起激進的數字盜竊案,其中包括備受矚目的對索尼影業的攻擊2014年。
然而,雖然 APT37 目前不像 Lazarus 那樣出名,但沒有理由認為該組織的技術水平或野心較低——事實上,自 2017 年以來,該組織的目標是與聯合國製裁執行有關的日本組織以及一家與朝鮮政府發生激烈糾紛的中東企業。
在朝鮮政權的支持下,該黑客組織很可能會被引導到幾個特定的目的,而這些目的將隨著壓迫性國家的利益而不斷發展。