APT37
Целевые сектора: прежде всего атакам подвергаются Южная Корея, а также Япония, Вьетнам и Ближний Восток в различных отраслях промышленности, включая химическую, электронику, промпроизводство, авиакосмическую, автомобилестроение и здравоохранение.
Обзор: Наш анализ (FireEye) недавней деятельности APT37 показывает, что деятельность группы расширяется и усложняется, благодаря набору инструментов, который включает доступ к уязвимостям нулевого дня и другим зловредам. Мы с высокой степенью уверенности оцениваем, что эта деятельность осуществляется от имени правительства Северной Кореи с учетом артефактов, присущих именно северокорейским разработчикам и целей, соответствующих интересам КНДР. FireEye считает, что APT37 соответствует деятельности хакер-групп, известных как Scarcruft и Group123.
Сопутствующее вредоносное ПО: разнообразный набор средств для первоначального проникновения и эксфильтрации (тактика временного отступления). Наряду с кастомными программами, используемыми для шпионских целей, APT37 также имеет доступ к программам деструкторам.
Векторы атак: тактики социальной инженерии, специально разработанные для поражения конкретных целей, стратегические веб диверсии, типичные для операций кибершпионажа, и использование торрент-сайтов для обмена файлами для более широкого распространения вредоносных программ. Частая эксплуатация уязвимостей в текстовом процессоре Hangul (аналог, MS Word, для корейского языка - прим.переводчика), а также в Adobe Flash. Группа демонстрировала доступ к уязвимостям нулевого дня (CVE-2018-0802) и способность включать их в свои операции.
APT38
Целевые сектора: финансовые институты по всему миру
Обзор: Наш анализ этой группы показывает, что они несут ответственность за совершение крупнейших кибер-преступлений. Группа была замечена в предоставлении доступа к своими ресурсами, а также спонсорской помощи другой группе, известной в сообществе безопасности как «Lazarus». Но не смотря на эти факты, мы все же считаем, что финансовая заинтересованность членов APT38, уникальный набор используемых инструментов, а также тактика, методы и процедуры (TTP) позволяют считать ее отдельным игроком северокорейской кибер сцены.
Сопутствующее вредоносное ПО: эта довольно большая и многочисленная группа использует различные семейства вредоносных программ, в том числе бэкдоры, туннели, датамайнеры и прочие вредоносные программы для воровства миллионов долларов у финансовых учреждений по всему миру.
Векторы атак: APT38 провела операции в более чем 16 организациях и по крайней мере в 11 странах. Эта группа осторожна, расчетлива и нацелена удерживать доступ к системе своих жертв столько времени, сколько необходимо чтобы понять строение локальной сети, необходимых разрешений и системных технологий для достижения своих целей. APT38 отличается тем, что не боится агрессивно уничтожать улики и выводить из строя сети своих жертв в рамках своей деятельности.