APT-C-23

APT-C-23 je název přiřazený skupině hackerů Advanced Persistent Threat (APT). Stejná skupina je známá také jako Scorpion dvouocasý nebo Scorpion pouštní. Bylo pozorováno, že hackeři provádějí několik výhružných kampaní zaměřených proti uživatelům na Blízkém východě. APT-C-23 používá při svých operacích nástroje Windows i Android.

Aktivity skupiny byly poprvé podrobně popsány vědci z Qihoo 360 Technology již v březnu 2017. Ve stejném roce začaly různé výzkumné týmy infosec chytat různé trojské nástroje info-stealer, které byly přisuzovány APT-C-23:

• Palo Alto Networks popsal hrozbu, kterou nazvali VAMP
• Lookout analyzoval trojského koně, kterému dali jméno FrozenCell
• Společnost TrendMicro odhalila hrozbu GnatSpy

V roce 2018 se Lookoutu podařilo detekovat jeden z podpisových trojských nástrojů v arzenálu APT-C-23, který pojmenovali Desert Scorpion. Kampaň zahrnující Desert Scorpion údajně zaměřila více než 100 cílů z Palestiny. Hackerům se podařilo propašovat jejich malwarovou hrozbu do oficiálního obchodu Google Play, ale spoléhali na četné taktiky sociálního inženýrství, aby své oběti nalákali ke stažení. Zločinci vytvořili facebookový profil pro falešnou ženu, který byl použit k propagaci odkazů vedoucích k výhružné aplikaci pro zasílání zpráv s názvem Dardesh. Kampaň Desert Scorpion zahrnovala jeden z charakteristických postupů spojených s APT-C-23 - rozdělení ohrožující funkčnosti útoku do několika fází, protože aplikace Dardesh fungovala jednoduše jako kapátko první fáze, které dodávalo skutečné užitečné zatížení druhého stupně.

ATP-23-C obnovila svou činnost počátkem roku 2020, protože byla spojena s útočnou kampaní proti vojákům IDF (Izraelské obranné síly). Hackeři se neodchýlili od svých standardních operací a znovu použili aplikace pro zasílání zpráv k doručování trojských hrozeb s informacemi o krádeži. Hrozivé aplikace byly propagovány speciálně vytvořenými webovými stránkami, které byly navrženy tak, aby propagovaly falešné funkce aplikací a poskytovaly přímé odkazy ke stažení, které mohly cílené oběti používat.

Nejnovější operace přisuzovaná ATP-23-C zahrnuje použití výrazně vylepšené verze jejich trojského nástroje, který vědci z ESETu pojmenovali Android / SpyC23.A . Hackeři se stále zaměřují na stejný region, přičemž jejich hrozivý nástroj představuje detekci aplikace WeMessage na zařízeních uživatelů umístěných v Izraeli. Kromě běžné řady funkcí, které se očekávají od moderního trojského koně pro informace, je Android / SpyC23.A vybaven několika novými výkonnými schopnostmi. Může iniciovat hovory a skrýt svou aktivitu za černou obrazovkou zobrazenou na napadeném zařízení. Trojský kůň je navíc schopen odmítat různá oznámení z různých bezpečnostních aplikací pro Android, která závisí na konkrétním modelu nebo výrobci infiltrovaného zařízení. Jedinečnou vlastností systému Android / SpyC23.A je jeho schopnost odmítnout vlastní oznámení. Podle výzkumníků by taková funkce mohla být užitečná pro skrytí určitých chybových upozornění, která se mohou objevit během aktivit na pozadí trojského koně.

ATP-23-C je poměrně plodná sofistikovaná hackerská skupina, která ukazuje tendenci neustále se vyvíjet své malwarové nástroje a využívat strategie sociálního inženýrství určené k cílení na konkrétní skupiny uživatelů.