ציקלדק
ה-Cycldek APT (Advanced Persistent Threat) זוהה לראשונה על ידי אנליסטים של תוכנות זדוניות בשנת 2018. עם זאת, לאחר לימוד הקמפיינים שביצעה קבוצת Cycldek, התברר כי ה-APT כנראה פעיל מאז 2014. רוב הקמפיינים של Cycldek הקבוצה מתבצעת בדרום מזרח אסיה. קבוצת הפריצה נוטה לרדוף אחרי פוליטיקאים בעלי פרופיל גבוה וגופים ממשלתיים חשובים. לרשות קבוצת הפריצה Cycldek מגוון רחב של כלי פריצה. APT זה משתמש גם בכלי פריצה וגם בתוכנה לגיטימית בקמפיינים שלהם. הטכניקה האחרונה מכונה כלים חיים מחוץ לאדמה. באחת הפעולות האחרונות שלהם, חשפה קבוצת Cycldek חלק מרשים מאוד של תוכנה זדונית בשם USBCulprit . כלי פריצה מתקדם זה נועד לחדור למערכות מרווחות אוויר ולגנוב מידע ומסמכים מסווגים.
חוקרי אבטחת סייבר מאמינים שמקור קבוצת הפריצה Cycldek מסין. רוב המטרות של Cycldek APT ממוקמות בדרום מזרח אסיה - וייטנאם, לאוס ותאילנד. עם זאת, מדי פעם, קבוצת Cycldek מכוונת גם למוסדות ממשלתיים ולפקידים במדינות אחרות בדרום מזרח אסיה.
בין כלי הפריצה הידועים ביותר של Cycldek APT הוא NewCore RAT (Trojan Access Remote). קבוצת הפריצה של Cycldek השתמשה ב-NewCore RAT כדי ליצור שני איומים נוספים. אחד מכלי הפריצה המבוססים על NewCore RAT, זכה לכינוי BlueCore RAT . החלק הנוסף של NewCore RAT של תוכנה זדונית סומנה RedCore RAT .
כפי שציינו, Cycldek APT לא מסתמך רק על תוכנות זדוניות שנבנו בהתאמה אישית, אלא גם על כלי פריצה זמינים לציבור. חלק מהאיומים הזמינים לציבור המשמשים את קבוצת הפריצה Cycldek הם:
- JsonCookies - כלי זה אוסף עוגיות מדפדפני אינטרנט מבוססי Chromium באמצעות מסדי נתונים של SQLite.
- HDoor - טרויאני בדלת אחורית שקיים כבר די הרבה זמן ולעתים קרובות נמצא בשימוש על ידי קבוצות פריצה סיניות.
- ChromePass - גנב מידע שאוסף אישורי כניסה מדפדפני אינטרנט מבוססי Chromium.
קבוצת הפריצה Cycldek מנוסה מאוד בתחום פשעי הסייבר, מן הסתם. כדי להימנע מזיהוי על ידי מנתחי תוכנות זדוניות וכלי אבטחה, ה-Cycldek APT מקפיד לעדכן את כלי הפריצה שלו באופן קבוע.
