APT-C-23

APT-C-23 on häkkerite Advanced Persistent Threat (APT) rühmale määratud nimi. Sama rühma tuntakse ka kahe sabaga skorpionina või kõrbeskorpionina. Häkkerid on täheldanud mitmeid ähvardavaid kampaaniaid, mis on suunatud Lähis-Idas asuvatele kasutajatele. APT-C-23 kasutab oma operatsioonides nii Windowsi kui ka Androidi tööriistu.

Qihoo 360 Technology teadlased täpsustasid rühma tegevust esmakordselt juba 2017. aasta märtsis. Samal aastal hakkasid erinevad infosek-uurimisrühmad püüdma erinevaid infot varastavate Trooja tööriistu, mis on omistatud APT-C-23-le:

  • Palo Alto Networks kirjeldas ohtu, mida nad nimetasid VAMPiks
  • Lookout analüüsis Trooja hobust, kelle nimi oli FrozenCell
  • TrendMicro paljastas GnatSpy ohu

2018. aastal õnnestus Lookoutil tuvastada APT-C-23 arsenalis üks allkirjastatud Trooja tööriist, mille nad nimetasid Desert Scorpioniks. Väidetavalt oli Desert Scorpioni kampaania sihitud üle 100 Palestiinast pärit sihtmärgi. Häkkerid olid suutnud oma pahavaraohu varjata ametlikus Google Play poes, kuid tuginesid arvukatele sotsiaal-inseneritaktikatele, et meelitada ohvreid seda alla laadima. Kurjategijad lõid võltsnaise jaoks Facebooki profiili, mida kasutati Dardeshi-nimelise ähvardava sõnumirakenduse juurde viivate linkide reklaamimiseks. Desert Scorpioni kampaania hõlmas ühte APT-C-23-ga seotud iseloomulikke protseduure - rünnaku ähvardava funktsionaalsuse eraldamine mitmeks etapiks, kuna Dardeshi rakendus toimis lihtsalt esimese astme tilgutina, mis toimis tegeliku teise astme kasuliku koormusega.

ATP-23-C jätkas oma tegevust 2020. aasta algusega, kuna neid seostati rünnakukampaaniaga IDF (Iisraeli kaitseväe) sõdurite vastu. Häkkerid ei kaldunud kõrvale oma tavapärastest toimingutest ja kasutasid infovargaja Trooja ähvarduste edastamiseks taas sõnumside rakendusi. Ähvardavaid rakendusi propageerisid spetsiaalselt loodud veebisaidid, mis olid loodud rakenduste võltsfunktsioonide reklaamimiseks ja otseste allalaadimislinkide pakkumiseks, mida sihtohvrid said kasutada.

Viimane ATP-23-C-le omistatud operatsioon hõlmab nende Trooja tööriista tunduvalt täiustatud versiooni kasutamist, mille ESETi teadlased nimetasid Android / SpyC23.A-ks . Häkkerid on endiselt keskendunud samale piirkonnale, kusjuures nende ähvardav tööriist kuvab, kui Iisraelis asuvate kasutajate seadmetes tuvastatakse rakendus WeMessage. Lisaks tavapärasele funktsionaalsusele, mida oodatakse tänapäevaselt infovargilt Troojalt, on Android / SpyC23.A varustatud mitme uue võimsa võimega. See võib algatada kõnesid, varjates oma tegevust rikutud seadmes kuvatud musta ekraani taga. Lisaks on troojalane võimeline loobuma erinevatest Androidi turvarakendustest pärit teatistest, mis sõltuvad sissetunginud seadme konkreetsest mudelist või tootjast. Androidi / SpyC23.A ainulaadne omadus on võime loobuda oma teadetest. Teadlaste sõnul võib selline funktsioon olla kasulik varjata teatud veateateid, mis võivad ilmneda Trooja tausttegevuste ajal.

ATP-23-C on üsna viljakas keerukas häkkerite rühm, mis näitab nende pahavaratööriistade pideva arendamise tendentsi ning sotsiaal-inseneristrateegiate kasutamist konkreetsete kasutajagruppide sihtimiseks.

Trendikas

Enim vaadatud

Laadimine...