CHEESETRAY
Το APT38 (Advanced Persistent Threat) είναι και πάλι στις ειδήσεις. Αυτή η ομάδα hacking λειτουργεί από τη Βόρεια Κορέα και επίσης είναι γνωστή με το ψευδώνυμο Lazarus. Οι εγκληματικές τους δραστηριότητες έχουν ξεπεράσει το γεγονός ότι ορισμένα από τα μέλη τους έχουν ζητηθεί από το Ομοσπονδιακό Γραφείο Διερεύνησης των Ηνωμένων Πολιτειών. Το κύριο κίνητρο του APT38 φαίνεται να είναι νομισματικό κέρδος, καθώς τείνει να στοχεύει σε μεγάλα χρηματοπιστωτικά ιδρύματα και τράπεζες σε όλο τον κόσμο. Αυτή η ομάδα πειρατείας πιστεύεται ότι χορηγείται άμεσα από τη βορειοκορεατική κυβέρνηση, οπότε είναι πιθανό ότι κάνουν την προσφορά του Kim Jong-un.
Πίνακας περιεχομένων
Επιτρέπει στους επιτιθέμενους να συλλέγουν δεδομένα για μακρόχρονη σιωπή
Η ομάδα hacking APT38 τείνει να πάρει το χρόνο της κατά τη διεξαγωγή μιας επιχείρησης. Συχνά διεισδύουν στο στόχο τους και ξοδεύουν όσο μπορούν με το ραντάρ τους, ενώ συλλέγουν δεδομένα για το σύστημα του θύματος. Αυτό βοηθά τους επιτιθέμενους να αποφασίσουν για το πώς ακριβώς θα πραγματοποιήσουν την εκστρατεία ώστε να επιτύχουν τα μέγιστα αποτελέσματα. Το εργαλείο CHEESETRAY είναι Trojan backdoor, το οποίο αποτελεί μέρος του οπλοστασίου του APT38 και επιτρέπει στους χειριστές του να έχουν πρόσβαση στο συμβιβασμένο σύστημα μακροπρόθεσμα. Ένα ενδιαφέρον χαρακτηριστικό του κακόβουλου λογισμικού CHEESETRAY είναι ότι έχει ρυθμιστεί ώστε να έχει τη δυνατότητα να λειτουργεί είτε σε ενεργή λειτουργία είτε σε παθητική λειτουργία. Το εάν λειτουργεί σε ενεργή ή παθητική λειτουργία καθορίζεται από το σύστημα που έχει διεισδύσει στην απειλή.
Ενεργή λειτουργία και παθητική λειτουργία
Ένα ενεργό backdoor θα δημιουργήσει μια σύνδεση με το διακομιστή C & C (Command & Control) των εισβολέων και θα αρχίσει αμέσως να στέλνει και να λαμβάνει δεδομένα. Ωστόσο, η αρνητική πλευρά αυτής της προσέγγισης είναι ότι αυτό είναι μάλλον θορυβώδες και ότι μια νόμιμη εφαρμογή κατά του κακόβουλου λογισμικού ενδέχεται να εντοπίσει πολύ γρήγορα την ανασφαλή δραστηριότητα. Ένα παθητικό backdoor έχει πολύ πιο σιωπηλή προσέγγιση. Αυτή η λειτουργία θα επέτρεπε στο backdoor του CHEESETRAY να παραμείνει αδρανής και πιθανόν να αποφύγει την ανίχνευση. Η απειλή θα παραμείνει ανενεργή μέχρι να λάβει το αποκαλούμενο «μαγικό πακέτο», το οποίο παραδίδεται σε μια συγκεκριμένη θύρα δικτύου. Χρησιμοποιώντας αυτή τη μέθοδο, η ομάδα APT38 βεβαιώνεται ότι υπάρχουν ελάχιστα ίχνη από την απειλητική δραστηριότητά της.
Δυνατότητες
Το Trojan backdoor του CHEESETRAY επιτρέπει στους χειριστές του να:
- Αποστολή εντολών απομακρυσμένου κελύφους.
- Διαγράψτε τα αρχεία που υπάρχουν στο σύστημα.
- Παρατηρήστε τις συνεδρίες απομακρυσμένης επιφάνειας εργασίας.
- Εγκαταστήστε τον αλλοιωμένο κώδικα σε νόμιμες διαδικασίες.
- Κατάλογος διαδικασιών που εκτελούνται στο σύστημα.
- Συγκεντρώστε δεδομένα σχετικά με το σύστημα αρχείων, όπως ονόματα αρχείων και ονόματα φακέλων.
- Ανεβάστε αρχεία στο μολυσμένο σύστημα.
- Λήψη αρχείων από μια επιλεγμένη διεύθυνση URL.
Η δραστηριότητα της ομάδας hacking APT38 πιθανότατα δεν θα σταματήσει σύντομα, οπότε θα συνεχίσουμε να τις βλέπουμε να κάνουν τα πρωτοσέλιδα στο προσεχές μέλλον.
