APT37検出：北朝鮮のハッカーがKonni RATを配布、チェコおよびポーランドの組織を標的に

The APT37、別名リーパー、リコシェ・チョリマ、スカー・クルフト、は北朝鮮に関連するハッキンググループです。このハッカー集団は少なくとも2012年から活動しており、主に韓国の公共および民間部門の組織を標的にしてきました。2017年以降、敵対者はターゲットを拡大し、現在は世界中で被害者を狙っています。影響を受けたセクターには製造、電子機器、ヘルスケア、自動車産業の分野が含まれていますが、それに限られるものではありません。.

最近追跡されたSTIFF#BIZONキャンペーンにおいて、APT37グループはKonniとして知られるリモートアクセス型トロイの木馬（RAT）を用いて侵入したシステム内の持続性を確立し、ホストの権限昇格を行っています。Konni RATは北朝鮮のハッキンググループに帰属されています。 タリウム とAPT37。

APT37の活動を検知する

北朝鮮のハッカーはターゲットへの不正アクセスを得るために、ソーシャルエンジニアリング戦術を継続的に強化しています。APT37に対抗するために、SOC Primeは洞察力に富んだ 脅威バウンティ 開発者 Kyaw Pyiyt Htet:

北朝鮮APT37のKonniマルウェア活動の関連コマンドの検出による（CmdLine経由

サイバー攻撃の発生数が爆発的に増加していることは、サイバーリスクの進展を把握することの重要性を際立たせています。SOC Primeの包括的な検出コンテンツライブラリは、 MITRE ATT&CK®フレームワーク に整合した20万件の文脈強化された検知を蓄積しており、厳選された検知コンテンツで脅威カバレッジを向上させます。 Detect & Hunt ボタンを押すと、APT37の活動に関連するSigmaルールのリポジトリにアクセスできます。 Explore Threat Context ボタンで、最新のコンテンツ更新と関連する脅威の文脈を明らかにします。

Detect & Hunt Explore Threat Context

APT37のSTIFF#BIZONキャンペーン分析

リーパーAPTグループは最新のキャンペーンにおいて高価値の組織を標的にしており、メールフィッシング詐欺を通してKonni RATマルウェアを広めています。現在のデータによると、主な標的はチェコ共和国とポーランドの組織です。

北朝鮮のハッキンググループは、Konni RAT（2017年に初めて発見された）をフィッシングメッセージで配布しています。悪意のある添付ファイルは、Word文書（missile.docx）とWindowsショートカットファイル（_weapons.doc.lnk.lnk）を含むアーカイブであり、 Securonix Threat Labsによってリリースされた研究によると、攻撃チェーンの初期侵入部分（.lnkファイルによる妥協）は、他のキャンペーンに関連するものと類似しています。 バンブルビー and DogWalk.

被害者が武装されたファイルを開くと、感染チェーンが始まります。敵対者はKonni RATを使用して、被害者の情報を収集し、スクリーンショットを撮り、興味あるファイルを盗み、リモートインタラクティブシェルを確立します。

サイバー防御のためのトップクラスの専門家とツールを手に入れましょう： Uncoder CTIは、SOC Primeのプラットフォームによって強化され、セキュリティ研究者が複数タイプのIOCをカスタムクエリに自動変換して、ユニークなお客様環境でのIOC検索を即座に可能にします。