Packrat

Packrat-hackinggruppen er en Advanced Persistent Threat (APT), der har udført adskillige vidtrækkende operationer koncentreret i Sydamerika – Argentina, Brasilien og Ecuador. Packrat-gruppens aktivitet nåede sit højdepunkt tilbage i 2015. Packrat-trusselsaktøren har en tendens til at udføre phishing- og datatyveri-operationer sideløbende med rekognosceringskampagner. Cybersikkerhedsforskere har valgt dette navn til denne hackergruppe, da deres foretrukne værktøj er RAT'er (Remote Access Trojans). De fleste af de RAT'er, som Packrat-gruppen bruger, ser ud til at være det, der ofte omtales som malware-som-en-vare. Det betyder, at de hackingværktøjer, som Packrat-gruppen bruger, for det meste købes eller lejes. Packrat-skuespilleren ser ud til at specialisere sig i social engineering i stedet for at bygge malware fra bunden.

Packrat-hackergruppen vil sandsynligvis være meget erfaren inden for cyberkriminalitet. Deres kampagner er komplekse og veludførte. Denne trusselsaktør er kendt for at skabe falske identiteter og hele svigagtige virksomheder og organisationer for at gøre deres sociale ingeniørtricks så polerede som muligt. Nogle malware-eksperter mener, at Packrat-gruppen kan være regeringssponsoreret. Dette skyldes, at målene for Packrat-trusselsaktøren ofte er højtstående politikere, undersøgende journalister, medieorganisationer og andre store virksomheder af interesse. Ydermere ser det ud til, at de kampagner, som Packrat hacker-gruppen har gennemført, er ret dyre at vedligeholde - sandsynligvis i hundredtusindvis af dollars.

Packrat-gruppen ville udbrede deres trusler via phishing-operationer. Disse kampagner ville involvere de tidligere nævnte falske organisationer og identiteter oprettet af angriberne. Nogle af målene for Packrat-gruppen ville også være phishing via tekstbeskeder. Blandt de mest brugte trusler af den truende Packrat-skuespiller er Alien Spy , Adzok, Cybergate og Xtreme RAT . Phishing-kampagnerne fra Packrat-hacking-gruppen vil målrette loginoplysninger til populære websteder og tjenester som Facebook, Twitter, Google og forskellige instant messaging-værktøjer. For at perfektionere deres social engineering-taktik vil Packrat-trusselsaktøren også skabe falske websider, hvis eneste formål er desinformation, der giver indsigt i deres omfattende ulemper.

Tidslinje for begivenheder

2008-2013

Værktøjerne og kommando- og kontrolinfrastrukturen, som Packrat-gruppen bruger, tyder på, at de var aktivt i drift allerede i 2008. I løbet af de første fem år af koncernens drift brugte trusselsaktørerne hostingtjenester i Brasilien, hvor nogle af deres malware-eksempler var uploadet til online virusscanningstjenester fra brasilianske IP'er. Mange af de eksempelbeskeder, som Packrat-gruppen brugte til at lokke ofre i den periode, var fyldt med brasiliansk socialt ingeniørindhold, hvilket tyder på, at hackerne udelukkende havde målrettet det største sydamerikanske land.

2014-2015

Efter en forholdsvis begivenhedsløs periode gik Packrat ind på dybt vand, da det var rettet mod den kendte argentinske journalist og tv-nyhedsvært Jorge Lanata og Alberto Nisman , en højtprofileret argentinsk advokat og føderal anklager. Nisman havde angiveligt inkriminerende beviser mod højtstående embedsmænd fra den argentinske regering, inklusive den daværende argentinske præsident Cristina Elisabet Fernández de Kirchner .

Opdagelsen af den malware, som Packrat-gruppen brugte, blev fundet, da Nisman blev fundet død af et skudsår i sin lejlighed i Buenos Aires den 18. januar 2015. Det retsmedicinske laboratorium ved Buenos Aires Metropolitan Police undersøgte Nismans Android-telefon og fandt en ondsindet fil navngivet '' estrictamente secreto y confidencial.pdf.jar '', som oversættes til '' strengt hemmeligt og fortroligt '' på engelsk.

En identisk fil blev senere uploadet til en online virusdatabase fra Argentina, hvilket afslørede, at det var AlienSpy, et malware-as-a-service fjernadgangsværktøj, der giver trusselsaktører mulighed for at registrere deres ofres aktiviteter, få adgang til deres webcam, e-mail og mere. Filen blev bygget til Windows, hvilket betyder, at angriberne måske har været mislykkede i deres forsøg på at hacke Nisman, som åbnede den på sin Android-telefon.

Efter malwarefundet blev offentliggjort, kom andre frem og sagde, at de også var blevet målrettet. Máximo Kirchner, søn af den daværende Argentinas daværende præsident Cristina Elisabet Fernández de Kirchner og den tidligere argentinske præsident Néstor Kirchner , hævdede, at han var angrebet af den samme malware, idet han leverede skærmbilleder af en e-mail, han modtog fra en person, der efterlignede den argentinske dommer Claudio Bonadio med en adresse claudiobonadio88@gmail.com .

E-mail modtaget af Máximo Kirchner. Kilde: ambito.com

En indledende analyse af Morgan Marquis-Boire fra Citizen Lab afslørede, at den malware, der blev brugt mod Kircher, Lanata og Nisman, var knyttet til en kommando- og kontrolserver (C2) ved navn deyrep24.ddns.net. Det samme deyrep24.ddns.net C2-domæne viste sig at blive brugt af tre andre malwareprøver ved yderligere inspektion. Et af prøverne var et ondsindet dokument med navnet '' 3 MAR PROYECTO GRIPEN.docx.jar '' og angiveligt indeholdt kommunikation mellem Ecuadors ambassadør i Sverige og Ecuadors præsident Rafael Correa om spørgsmålet om anskaffelse af kampfly.

Forskere fra Citizen Lab foretog yderligere forskning efter at have modtaget adskillige rapporter om phishing-angreb mod journalister og offentlige personer i Ecuador i 2015. Mange af de ondsindede e-mails og sms'er, som de undersøgte, var ikke politisk-tema, men var blot indsamling af legitimationsoplysninger for forskellige e-mail-udbydere og sociale medier. medier. Yderligere forskning afslørede, at kampagnen i Ecuador inkluderede eksplicit politisk indhold, om en lang række politiske spørgsmål og personer i landet, såvel som oprettelsen af mange falske profiler og organisationer.

Forskerne afslørede et stort net af sammenkobling mellem malware og phishing-websteder, der blev brugt i den omfattende ecuadorianske kampagne. Den malware, de distribuerede, var for det meste Java RAT'er, som AlienSpy og Adzok. Mange af webstederne delte registreringsoplysninger, mens malwareprøverne typisk kommunikerede med daynews.sytes.net, et domæne, der også er knyttet til de argentinske sager. Undersøgelsen afslørede også falske websteder i Venezuela og infrastruktur i Brasilien.

Packrats C2-infrastruktur. Kilde: citizenlab.ca

Packrat hackergruppen har en veludviklet infrastruktur, der har været relativt sikker i flere år. De storstilede, dyre og velpolerede kampagner, som Packrat hacker-gruppen har gennemført, peger på en statsstøttet aktør, der er velfinansieret og vedligeholdt.

Packrat Skærmbilleder