CHEESETRAY
APT38 (Advanced Persistent Threat) er i nyhederne igen. Denne hacking-gruppe opererer fra Nordkorea og er også kendt under aliaset Lazarus. Deres kriminelle aktiviteter er gået så meget ud, at nogle af deres medlemmer efterspørges af Det Forenede Staters forbundskontor for øjeblikket. APT38-gruppens hovedmotivation synes at være monetær gevinst, da de har tendens til at målrette mod store finansielle institutioner og banker over hele verden. Det antages, at denne hackinggruppe er sponsoreret af den nordkoreanske regering direkte, så det er sandsynligt, at de laver Kim Jong-uns bud.
Indholdsfortegnelse
Tillader angriberen at indsamle data over lang tid stille
APT38-hacking-gruppen har en tendens til at tage sin tid, når den udfører en operation. De vil ofte infiltrere deres mål og bruge så længe de kan under deres radar, alt sammen mens de indsamler data om dets offeres system. Dette hjælper angribere med at beslutte, hvordan de præcist skal gennemføre kampagnen, så de kan opnå maksimale resultater. CHEESETRAY-værktøjet er en bagdør Trojan, som er en del af APT38-gruppens arsenal og tillader dets operatører at have adgang til det kompromitterede system på lang sigt. Et interessant træk ved CHEESETRAY-malware er, at det er oprettet for at have evnen til at fungere enten i aktiv tilstand eller i en passiv tilstand. Om det kører i aktiv eller passiv tilstand bestemmes af systemet, at truslen har infiltreret.
Aktiv tilstand og passiv tilstand
En aktiv bagdør opretter en forbindelse med angribernes C&C (Command & Control) server og begynder straks at sende og modtage data. Imidlertid er den negative side af denne tilgang, at dette er ret støjende, og en legitim anti-malware-applikation vil sandsynligvis se den usikre aktivitet meget hurtigt. En passiv bagdør har en meget mere lydløs tilgang. Denne tilstand giver CHEESETRAY-bagdøren mulighed for at forblive i dvale og sandsynligvis undgå detektion. Truslen vil forblive inaktiv, indtil den modtager det, der kaldes en 'magi-pakke', som leveres til en bestemt netværksport. Ved at bruge denne metode sørger APT38-gruppen for, at der er minimale spor tilbage fra dens truende aktivitet.
Capabilities
CHEESETRAY bagdør Trojan giver sine operatører mulighed for:
- Send eksterne shell-kommandoer.
- Slet filer, der findes på systemet.
- Overhold sessioner med eksternt skrivebord.
- Plant den beskadigede kode i legitime processer.
- Liste over processer, der kører på systemet.
- Saml data om filsystemet, f.eks. Filnavne og mappenavne.
- Upload filer på det inficerede system.
- Download filer fra en valgt URL.
Aktiviteten af hackinggruppen APT38 vil sandsynligvis ikke ophøre snart, så vi vil fortsætte med at se dem komme i overskriften i en overskuelig fremtid.
