CHEESETRAY
APT38 (Advanced Persistent Threat) je ve zprávách ještě jednou. Tato hackerská skupina operuje ze Severní Koreje a je známá také pod přezdívkou Lazarus. Jejich trestná činnost se tak rozšířila, že některé z jejich členů v současné době požaduje Federální vyšetřovací úřad Spojených států. Zdá se, že hlavní motivací skupiny APT38 je peněžní zisk, protože mají tendenci zaměřovat se na velké finanční instituce a banky na celém světě. Tato skupina hackerů je považována za sponzorovanou přímo severokorejskou vládou, takže je pravděpodobné, že se účastní nabídek Kim Jong-un.
Obsah
Umožňuje útočníkům sbírat data příliš dlouho tiše
Hackerská skupina APT38 inklinuje věnovat čas provádění operace. Často by infiltrovali svůj cíl a utráceli tak dlouho, jak mohli pod svým radarem, a to vše při shromažďování údajů o systému jeho oběti. To útočníkům pomáhá rozhodnout, jak přesně kampaň provést, aby mohli dosáhnout maximálních výsledků. Nástroj CHEESETRAY je backdoor Trojan, který je součástí arzenálu skupiny APT38 a umožňuje svým operátorům dlouhodobý přístup ke kompromitovanému systému. Zajímavou vlastností malwaru CHEESETRAY je, že byl nastaven tak, aby byl schopen pracovat v aktivním nebo pasivním režimu. Zda běží v aktivním nebo pasivním režimu, je určeno systémem, který hrozba infiltrovala.
Aktivní režim a pasivní režim
Aktivní backdoor naváže spojení se serverem C&C (Command & Control) útočníků a začne okamžitě odesílat a přijímat data. Negativní stránkou tohoto přístupu je však to, že je to spíše hlučné a že legitimní anti-malware aplikace pravděpodobně zjistí nebezpečnou aktivitu velmi rychle. Pasivní zadní vrátka má mnohem tichší přístup. Tento režim by umožnil backdoorům CHEESETRAY zůstat v klidu a pravděpodobně se vyhnout detekci. Hrozba zůstane neaktivní, dokud neobdrží to, co se nazývá „magický paket“, který je doručen na určitý síťový port. Použitím této metody se skupina APT38 ujistí, že z její ohrožující aktivity zbývají jen minimální stopy.
Schopnosti
Backdoor Trojan CHEESETRAY umožňuje svým operátorům:
- Odeslat vzdálené příkazy shellu.
- Odstraňte soubory přítomné v systému.
- Sledujte relace vzdálené plochy.
- Umístěte poškozený kód do legitimních procesů.
- Seznam procesů, které jsou spuštěny v systému.
- Shromažďujte data o systému souborů, jako jsou názvy souborů a názvy složek.
- Nahrajte soubory do infikovaného systému.
- Stahujte soubory z vybrané adresy URL.
Činnost hackerské skupiny APT38 pravděpodobně brzy nepřestane, takže v dohledné budoucnosti budeme i nadále vidět, jak se titulky dostávají do titulku.