CHEESETRAY
APT38 (Advanced Persistent Threat) on jälleen uutisissa. Tämä hakkerointiryhmä toimii Pohjois-Koreasta ja tunnetaan myös nimellä Lazarus. Heidän rikollinen toiminta on mennyt niin yli laidan, että Yhdysvaltain liittovaltion tutkintatoimisto etsii joitain heidän jäsenistään. APT38-ryhmän päämotivaatio näyttää olevan rahallinen voitto, koska niillä on taipumus kohdistaa suuria rahoituslaitoksia ja pankkeja maailmanlaajuisesti. Tämän hakkerointiryhmän uskotaan sponsoroivan suoraan Pohjois-Korean hallitusta, joten on todennäköistä, että he tekevät Kim Jong-unin tarjouksia.
Sisällysluettelo
Antaa hyökkääjille kerätä tietoja pitkään hiljaa
APT38-hakkerointiryhmällä on taipumus käyttää aikaa operaation suorittamiseen. He tunkeutuvat usein kohteeseensa ja viettävät niin kauan kuin pystyvät tutkansa alle, samalla kun keräävät tietoja uhrin järjestelmästä. Tämä auttaa hyökkääjiä päättämään, kuinka tarkalleen toteuttaa kampanja, jotta he voivat saavuttaa parhaan mahdollisen tuloksen. CHEESETRAY-työkalu on takaoven troijalainen, joka on osa APT38-ryhmän arsenaalia ja antaa operaattoreilleen pääsyn vaarannettuun järjestelmään pitkällä aikavälillä. CHEESETRAY-haittaohjelman mielenkiintoinen ominaisuus on, että se on asetettu pystymään toimimaan joko aktiivitilassa tai passiivitilassa. Järjestelmä, johon uhka on tunkeutunut, määrittelee sen toiminnan aktiivisessa vai passiivisessa tilassa.
Aktiivinen tila ja passiivinen tila
Aktiivinen takaovi luo yhteyden hyökkääjien C&C (Command & Control) -palvelimeen ja aloittaa tiedon lähettämisen ja vastaanottamisen välittömästi. Tämän lähestymistavan negatiivinen puoli on kuitenkin, että tämä on melko melua, ja laillinen haittaohjelmien torjunta-sovellus havaitsee todennäköisesti vaarallisen toiminnan hyvin nopeasti. Passiivisella takaovella on paljon hiljaisempi lähestymistapa. Tämä tila sallii CHEESETRAY-takaoven pysyä lepotilassa ja todennäköisesti välttää havaitsemista. Uhka pysyy passiivisena, kunnes se vastaanottaa niin kutsutun ”maagisen paketin”, joka toimitetaan tiettyyn verkkoporttiin. Tätä menetelmää käyttämällä APT38-ryhmä varmistaa, että sen uhkaavasta toiminnasta on jäljellä vähän jälkiä.
kyvyt
CHEESETRAY-takaoven troijalainen antaa operaattoreilleen mahdollisuuden:
- Lähetä etäkomentokomennot.
- Poista järjestelmässä olevat tiedostot.
- Tarkkaile etätyöpöydän istuntoja.
- Istuta sen vioittunut koodi laillisiin prosesseihin.
- Lista järjestelmässä käynnissä olevat prosessit.
- Kerää tiedostojärjestelmästä tietoja, kuten tiedostonimet ja kansiot.
- Lataa tiedostoja tartunnan saaneessa järjestelmässä.
- Lataa tiedostoja valitusta URL-osoitteesta.
APT38-hakkerointiryhmän toiminta ei todennäköisesti lakkaa pian, joten tulemme jatkossakin näkemään otsikoita lähitulevaisuudessa.
