目标和使命

APT37从2012年活跃开始，攻击目标主要是韩国的公共组织和私有企业。2017年，APT37将攻击目标的范围扩大到日本、越南、中东等地的垂直行业，包括化学、电子、制造业、航空工业、汽车和医疗业。

APT37的主要使命应该是收集情报来支持朝鲜的军事、政治和经济战略。这是因为其针对韩国公共和私有设施的持续攻击和社会工程。而APT37近期扩大目标范围似乎也与朝鲜的战略转变有关。

2014年到2017年，APT37的主要攻击目标是韩国的政府、军事、国防工业、新闻单元。宣传材料使用的也是韩语，主题是朝鲜半岛统一或制裁。2017年，APT37攻击了一家中东的电信服务提供商，而该电信服务提供商刚成为朝鲜政府电信服务提供合资企业。其他的目标包括国际事务和贸易问题相关的人员等。

朝鲜叛逃者和人群相关的攻击提供了关于APT37执行与朝鲜相关的攻击行为的直接证据。APT37攻击了与不同的朝鲜人权问题和战略研究机构相关的研究人员、咨询人员和记者。APT37用注册韩国全球论坛Korean Global Forum的邮件来引诱韩国的学术和战略研究机构的方式传播SLOWDRIFT恶意软件。而该钓鱼邮件是通过一个被黑的进行朝鲜研究的韩国研究机构的邮箱发送的。

感染向量

除了前面提到的钓鱼共计外，APT37使用其他的方法来传播恶意软件，包括web入侵、种子文件共享网站等。社会工程技术也是常用的攻击方法之一。

CVE公布时间vs APT37 CVE利用时间

漏洞利用

因为Hangul word processor（HWP）在韩国非常流行，所以APT37利用HWP中的漏洞比较多。APT37 还利用了0day漏洞CVE-2018-0802，并能迅速将近期公开的漏洞融入到鱼叉式钓鱼攻击和战略网页攻击操作中去。这些能力都说明了该组织有高效的运转速率和专业团队。

FireEye iSIGHT Intelligence已经确认自2017年11月起，APT37组织利用了Adobe Flash漏洞CVE-2018-4878来在韩国的受害者中分发DOGCALL恶意软件。在过去的这些年中，有国家背景的黑客组织使用和发现0day漏洞的能力已经成为对这些黑客组织进行区分的因素。

C&C基础设施

APT37使用了许多技术用于C&C，并利用被黑的服务器、消息平台和云服务提供商等来避免被检测到。该组织常依赖被黑的站点来存储二阶段的恶意软件payload。APT37修改了邮件服务提供商来建立C&C账户来避免被检测到并误导研究人员。这些年随着APT37的发展，APT37不断更新这些技术来避免被网络防护工具检测到。同时，APT37也有很多合法的平台作为恶意软件的C&C，比如DOGCALL就使用pCloud和Dropbox这样的云存储服务API。

APT37在过去这些年也是不断改善其运作安全的。比如2015年初，使用韩国相关的邮件服务器Daum.net。

使用的恶意软件

APT使用了不同的恶意软件组件用于入侵等。这些恶意软件主要用于窃取用户信息等。下图是APT37组织2015年起使用的恶意软件。为了达到间谍软件的目的，APT37还使用了一些破坏性的恶意软件。其中2017年4月，APT37攻击韩国军事和政府组织时就使用了DOGCALL后门和RUHAPPY数据擦除软件。APT37组织通过种子网站分发KARAE恶意软件可以帮助创建和维护之后用于DDOS攻击的僵尸网络，僵尸网络也可以用于其他出于经济利益的活动。包括使用数据擦除软件、数据泄露、DDOS攻击和电子战在内的破坏性的网络威胁活动都与过去朝鲜攻击单元的行为相似。

APT37使用的恶意软件

展望

朝鲜已经多次证明了使用网络攻击的能力来达到各种意图。虽然朝鲜大多使用其他的黑客团队来完成攻击性的活动，APT37可能只是政府用来维护自身网络安全的组织。随着外界压力的增加，APT37可能会更多的应用于一些其他的地区和角色中。

附APT37 使用的恶意软件