APT-C-23

APT-C-23 er navnet tildelt en gruppe hackere med avanceret vedvarende trussel (APT). Den samme gruppe er også kendt som Two-Tailed Scorpion eller Desert Scorpion. Hackerne er blevet observeret at gennemføre flere truende kampagner rettet mod brugere i Mellemøsten. APT-C-23 bruger både Windows- og Android-værktøjer i deres operationer.

Gruppens aktiviteter blev først beskrevet af forskerne ved Qihoo 360 Technology tilbage i marts 2017. Samme år begyndte forskellige infosec-forskergrupper at fange forskellige infostealer-trojanske værktøjer, der er tilskrevet APT-C-23:

• Palo Alto Networks beskrev en trussel, de kaldte VAMP
• Lookout analyserede en trojan, de kaldte FrozenCell
• TrendMicro afdækkede GnatSpy- truslen

I 2018 formåede Lookout at opdage et af underskriftens trojanske værktøjer i APT-C-23s arsenal, som de kaldte Desert Scorpion. Kampagnen, der involverer Desert Scorpion, siges at have målrettet over 100 mål fra Palæstina. Hackerne havde formået at snige deres malware-trussel på den officielle Google Play Butik, men stole på adskillige socialtekniske taktikker for at lokke deres ofre til at downloade den. Kriminelle oprettede en Facebook-profil for en falsk kvinde, der blev brugt til at promovere de links, der førte til den truende beskedapplikation kaldet Dardesh. Desert Scorpion-kampagnen involverede en af de karakteristiske procedurer forbundet med APT-C-23 - adskillelsen af angrebets truende funktionalitet i flere faser, da Dardesh-applikationen fungerede simpelthen som en første-trins dropper, der leverede den faktiske anden-trins nyttelast.

ATP-23-C genoptog deres aktivitet i starten af 2020, da de var forbundet med en angrebskampagne mod IDF (Israel Defense Force) soldater. Hackerne afveg ikke fra deres standardoperationer og brugte endnu en gang messaging-applikationer til at levere infostjeler-trojanske trusler. De truende applikationer blev fremmet af specifikt udformede websteder, der var designet til at reklamere for de falske funktionaliteter af applikationerne og give direkte downloadlink, som de målrettede ofre kunne bruge.

Den seneste operation, der tilskrives ATP-23-C, involverer brugen af en meget forbedret version af deres Trojan-værktøj, der blev navngivet Android / SpyC23.A af forskerne ved ESET. Hackerne er stadig fokuseret på den samme region med deres truende værktøj, der udgør, at WeMessage-applikationen opdages på enheder fra brugere i Israel. Ud over det normale udvalg af funktioner, der forventes fra en moderne infostealer-trojan, er Android / SpyC23.A udstyret med flere nye kraftige evner. Det kan starte opkald, mens det skjuler sin aktivitet bag en sort skærm, der vises på den kompromitterede enhed. Derudover er Trojan i stand til at afvise forskellige meddelelser fra forskellige Android-sikkerhedsapplikationer, der afhænger af den specifikke model eller producent af den infiltrerede enhed. Et unikt træk ved Android / SpyC23.A er dets evne til at afvise sine egne notifikationer. Ifølge forskerne kan en sådan funktion være nyttig til at skjule visse fejladvarsler, der kan forekomme under Trojans baggrundsaktiviteter.

ATP-23-C er en ret produktiv sofistikeret hacker-gruppe, der viser tendensen til konstant at udvikle deres malware-værktøjer samt anvende socialtekniske strategier designet til at målrette mod specifikke brugergrupper.