No início de fevereiro foi anunciada a vulnerabilidade zero-day do Adobe Flash (CVE-2018-4878) fomentada por um grupo de ciberespionagem norte-coreano, identificado como APT37 (Reaper).
Durante a análise das recentes atividades do APT37, revelou-se que operações do grupo têm se expandido em alcance e sofisticação, a partir de um conjunto de ferramentas que incluem acesso a vulnerabilidades zero-day e antimalware.
Os pesquisadores da FireEye avaliaram que as atividades são realizadas em nome do governo norte-coreano, com os artefatos de desenvolvimento de malware alinhados aos interesses do Estado da Coreia do Norte. A FireEye iSIGHT Intelligence acredita que o APT37 está consoante à atividade relatada publicamente como Scarcruft e Group123.
As operações do APT37, além da proximidade com o governo norte-coreano, apresentam cinco aspectos específicos:
Segmentação
Embora vise vários setores industriais, incluindo produtos químicos, eletrônicos, manufatura, aeroespacial, automotivo e saúde do Japão, Vietnã e Oriente Médio, o foco é a Coreia do Sul;
Táticas de infecção inicial
Técnicas de engenharia social são adaptadas especificamente aos alvos desejados, como compromissos estratégicos na web típicos das operações de ciberespionagem específicas e o uso de sites de compartilhamento de arquivos torrent para distribuir o malware de forma mais indiscriminada;
Vulnerabilidades exploradas
Há frequência na exploração de vulnerabilidades no processador de texto Hangul (HWP), bem como do Adobe Flash. O grupo demonstra acesso a vulnerabilidades zero-day (CVE-2018-0802) e a capacidade de incorporá-las às operações;
Infraestrutura de comando e controle
Servidores comprometidos, plataformas de mensagens e provedores de serviços em nuvem são utilizados para evitar a detecção. O grupo demonstra sofisticação crescente, melhorando sua segurança operacional ao longo do tempo em que é monitorado;
Malware
Há um conjunto diversificado de malwares para intrusão inicial e exfiltração. Juntamente ao malware personalizado usado para fins de espionagem, o APT37 também possui acesso a um que é destrutivo.
