Folgen 
The APT37, auch bekannt als Reaper, Ricochet Chollima und ScarCruft, ist eine Hackergruppe, die mit Nordkorea in Verbindung steht. Die Hacker sind seit mindestens 2012 aktiv und zielen hauptsächlich auf Organisationen im öffentlichen und privaten Sektor in Südkorea ab. Seit 2017 haben die Gegner ihr Ziel erweitert und suchen nun weltweit nach Opfern. Die betroffenen Sektoren umfassen, aber sind nicht beschränkt auf, die Branchenfertigung, Elektronik, Gesundheitswesen und Automobilindustrie.
In der aktuellsten Kampagne, die als STIFF#BIZON verfolgt wird, verwendet die APT37-Gruppe Malware, die als Remote-Access-Trojaner (RAT) bekannt ist und als Konni bezeichnet wird, um Persistenz aufrechtzuerhalten und in kompromittierten Systemen Privilegieneskalation durchzuführen. Der Konni RAT wurde Nordkorea-ansässigen Hackergruppen zugeschrieben Thallium und APT37.
Erkenne die Aktivitäten von APT37
Nordkoreanische Hacker verbessern kontinuierlich ihre Social-Engineering-Taktiken, um illegalen Zugang zu ihren Zielen zu erlangen. Um proaktiv gegen APT37 zu verteidigen, hat SOC Prime eine einzigartige, kontextangereicherte Sigma-Regel veröffentlicht, die von dem scharfsinnigen Threat Bounty Entwickler Kyaw Pyiyt Htet:
Der massive Anstieg der Zahl von Cyberangriffen unterstreicht die Bedeutung, den Finger am Puls der Cyberrisiken zu haben. Die umfassende Erkennungs-Inhaltsbibliothek von SOC Prime sammelt 200.000 kontextangereicherte Erkennungen, die mit dem MITRE ATT&CK® Rahmenwerk abgestimmt sind, um die Bedrohungsabdeckung mit sorgfältig kuratierten und verifizierten Erkennungsinhalten voranzutreiben. Drücken Sie die „Erkennen & Jagen“ Taste, um auf ein Repository von Sigma-Regeln zuzugreifen, die mit der Aktivität von APT37 verbunden sind. Die „Bedrohungskontext erkunden“ Taste wird die neuesten Inhaltsupdates und den relevanten Bedrohungskontext anzeigen.
„Erkennen & Jagen“ „Bedrohungskontext erkunden“
Analyse der STIFF#BIZON-Kampagne von APT37
Die Reaper APT-Gruppe nimmt in ihrer neuesten Kampagne hochrangige Organisationen ins Visier und verbreitet Konni RAT-Malware über einen Phishing-Betrug per E-Mail. Laut den aktuellen Daten sind die primären Ziele Organisationen in Tschechien und Polen.
Die nordkoreanische Hackergruppe verteilt Konni RAT (erstmals 2017 entdeckt) mit Phishing-Nachrichten. Der bösartige Anhang ist ein Archiv, das ein Word-Dokument (missile.docx) und eine Windows-Verknüpfungsdatei (_weapons.doc.lnk.lnk) enthält, so die Forschung von Securonix Threat Labs. Der anfängliche Infiltrationsteil der Angriffskette (die Kompromittierung über bösartige .lnk-Dateien) ähnelt einem in anderen mit Bumblebee and DogWalk.
in Verbindung stehenden Kampagnen. Sobald das Opfer eine präparierte Datei öffnet, beginnt die Infektionskette. Gegner nutzen Konni RAT, um Opferinformationen zu sammeln, Screenshots anzufertigen, interessante Dateien zu stehlen und eine interaktive Remote-Shell herzustellen.
Holen Sie sich erstklassige Fachkräfte und Werkzeuge für Ihre Cyber-Verteidigungsecke: Uncoder CTI, angetrieben von der SOC Prime-Plattform, erlaubt es Sicherheitsexperten, IOCs verschiedener Typen automatisch in benutzerdefinierte Abfragen umzuwandeln, um sofortige IOC-Suchen für einzigartige Kundenumgebungen zu ermöglichen.
