APT-C-23

APT-C-23 on nimi, joka on määritetty hakkereiden Advanced Persistent Threat (APT) -ryhmälle. Sama ryhmä tunnetaan myös nimellä Two-Tailed Scorpion tai Desert Scorpion. Hakkerien on havaittu toteuttavan useita uhkaavia kampanjoita, jotka kohdistuvat Lähi-idän käyttäjiin. APT-C-23 käyttää sekä Windows- että Android-työkaluja toiminnassaan.

Qihoo 360 Technologyn tutkijat tarkensivat ryhmän toimintaa ensimmäisen kerran maaliskuussa 2017. Samana vuonna useat infosec-tutkimusryhmät alkoivat tarttua erilaisiin APT-C-23: een liittyviin tietovarkailijoiden troijalaistyökaluihin:

• Palo Alto Networks kuvasi uhkaa, jota he kutsuivat VAMP: ksi
• Lookout analysoi troijalaisen, jonka he nimittivät FrozenCelliksi
• TrendMicro paljasti GnatSpy- uhan

Vuonna 2018 Lookout onnistui havaitsemaan APT-C-23: n arsenaalista yhden allekirjoitustroijalaistyökalun, jonka he nimittivät Desert Scorpioniksi. Desert Scorpion -kampanjan on ilmoitettu kohdistuneen yli 100 kohteeseen Palestiinasta. Hakkerit olivat onnistuneet piilottamaan haittaohjelmien uhkan virallisessa Google Play -kaupassa, mutta vedosivät lukuisiin sosiaalisen suunnittelun taktiikoihin houkutellakseen uhrit lataamaan sen. Rikolliset loivat väärennetylle naiselle Facebook-profiilin, jota käytettiin Dardesh-nimiseen uhkaavaan viestisovellukseen johtavien linkkien mainostamiseksi. Desert Scorpion -kampanjaan sisältyi yksi APT-C-23: een liittyvistä ominaispiirteistä - hyökkäyksen uhkaavan toiminnallisuuden jakaminen useaan vaiheeseen, kun Dardesh-sovellus toimi yksinkertaisesti ensimmäisen vaiheen tiputtimena, joka toimitti todellisen toisen vaiheen hyötykuorman.

ATP-23-C jatkoi toimintaansa vuoden 2020 alusta, koska ne liittyivät hyökkäyskampanjaan IDF: n (Israelin puolustusvoimat) sotilaita vastaan. Hakkerit eivät poikenneet tavanomaisista toiminnoistaan ja lähettivät jälleen viestisovelluksia troijalaisten tietoturvaajien uhkien lähettämiseen. Uhkaavia sovelluksia mainostettiin erityisesti muotoilluilla verkkosivustoilla, jotka on suunniteltu mainostamaan sovellusten väärennettyjä toimintoja ja tarjoamaan suoria latauslinkkejä, joita kohdennetut uhrit voivat käyttää.

Viimeisin ATP-23-C: lle annettu operaatio sisältää huomattavasti parannetun version Troijalaistyökalustaan, jonka ESETin tutkijat nimeivät Android / SpyC23.A . Hakkerit ovat edelleen keskittyneet samalle alueelle uhkaavan työkalunsa kanssa, kun WeMessage-sovellus havaitaan Israelissa sijaitsevien käyttäjien laitteissa. Modernien tietovarastaja Troijalaiselta odotettujen normaalien toimintojen lisäksi Android / SpyC23.A on varustettu useilla uusilla tehokkailla kyvyillä. Se voi aloittaa puheluita piilottaen toimintansa vaarantuneessa laitteessa näkyvän mustan näytön takana. Lisäksi troijalainen pystyy hylkäämään erilaisia ilmoituksia erilaisilta Android-tietoturvasovelluksilta, jotka riippuvat tunkeutuneen laitteen mallista tai valmistajasta. Android / SpyC23.A: n ainutlaatuinen ominaisuus on sen kyky hylätä OMA ilmoitukset. Tutkijoiden mukaan tällainen toiminto voi olla hyödyllinen piilottaakseen tietyt virheilmoitukset, jotka saattavat näkyä troijalaisen taustatoiminnoissa.

ATP-23-C on melko tuottelias, hienostunut hakkereiden ryhmä, joka osoittaa taipumusta jatkuvasti kehittää haittaohjelmatyökalujaan sekä käyttää sosiaalisen suunnittelun strategioita, jotka on suunniteltu kohdistamaan tiettyihin käyttäjäryhmiin.