APT37

OrigemCoreia do Norte

Técnicas (MITRE ATT&CK)29

FonteMITRE ATT&CK

Também conhecido como:InkySquidScarCruftReaperGroup123TEMP.ReaperRicochet Chollima

Análise Vexday

APT37 é um grupo de espionagem cibernética patrocinado pelo Estado norte-coreano, ativo pelo menos desde 2012, rastreado pelo MITRE ATT&CK sob o identificador G0067 e também conhecido pelos aliases InkySquid, ScarCruft, Reaper, Group123, TEMP.Reaper e Ricochet Chollima. O grupo tem como alvos principais organizações na Coreia do Sul, mas também conduziu operações contra vítimas no Japão, Vietnã, Rússia, Nepal, China, Índia, Romênia, Kuwait e outras regiões do Oriente Médio. Entre 2016 e 2018, foi associado a campanhas como Operation Daybreak, Operation Erebus, Golden Time, Evil New Year, FreeMilk e Evil New Year 2018, entre outras. Ao grupo são atribuídas 6 CVEs conhecidas e 29 técnicas documentadas no framework MITRE ATT&CK; pesquisadores de segurança ressaltam que definições de grupos norte-coreanos frequentemente apresentam sobreposições significativas.

Técnicas (MITRE ATT&CK) 29

Como o grupo opera, mapeado pela matriz MITRE ATT&CK e organizado pelas fases de um ataque.

Acesso inicial

Drive-by Compromise Spearphishing Attachment

Execução

Scheduled Task Command and Scripting Interpreter Windows Command Shell Visual Basic Python Native API Exploitation for Client Execution Malicious File Dynamic Data Exchange

Persistência

Registry Run Keys / Startup Folder

Escalada de privilégio

Bypass User Account Control

Acesso a credenciais

Credentials from Web Browsers

Descoberta

System Owner/User Discovery Process Discovery System Information Discovery Peripheral Device Discovery

Coleta

Data from Local System Audio Capture

Comando e controle

Web Protocols Bidirectional Communication Ingress Tool Transfer

Impacto

System Shutdown/Reboot Disk Structure Wipe

stealth

Obfuscated Files or Information Steganography Invalid Code Signature Process Injection

Vulnerabilidades exploradas 6

CVEs que este grupo é conhecido por explorar, segundo o MITRE ATT&CK. Ordenadas por gravidade real.

CVE-2017-0199HIGHEPSS 100%KEV CVE-2016-4117HIGHEPSS 94%KEV CVE-2018-4878HIGHEPSS 90%KEV CVE-2021-26411HIGHEPSS 81%KEV CVE-2020-1380HIGHEPSS 24%KEV CVE-2020-26411MEDIUMEPSS 1%

O grupo APT37 usa técnicas e explora falhas reais. O Pentest Autônomo com IA da TrueHacking simula esses ataques na sua infraestrutura e traz mais segurança para sua aplicação.

Conhecer o Pentest Autônomo com IA →