APT-C-23

APT-C-23 naziv je dodijeljen grupi hakera Napredne uporne prijetnje (APT). Ista je skupina također poznata kao dvostrani škorpion ili pustinjski škorpion. Primijećeno je da hakeri provode nekoliko prijetećih kampanja usmjerenih protiv korisnika smještenih na Bliskom istoku. APT-C-23 u svojim operacijama koriste alate Windows i Android.

Aktivnosti grupe prvi su put detaljno opisali istraživači u Qihoo 360 Technology još u ožujku 2017. Iste godine razni istraživački timovi infosec počeli su hvatati različite trojanske alate za krađu informacija koji su pripisani APT-C-23:

• Palo Alto Networks opisao je prijetnju koju su nazvali VAMP
• Lookout je analizirao trojanca kojeg su nazvali FrozenCell
• TrendMicro je otkrio prijetnju GnatSpy

2018. Lookout je uspio otkriti jedan od trojanskih alata s potpisom u arsenalu APT-C-23 koji su nazvali Desert Scorpion. Izvještava se da je kampanja u kojoj je sudjelovao Desert Scorpion ciljala preko 100 ciljeva iz Palestine. Hakeri su uspjeli prikriti svoju prijetnju zlonamjernim softverom na službenoj trgovini Google Play, ali oslanjali su se na brojne taktike socijalnog inženjeringa kako bi namamili svoje žrtve da ga preuzmu. Kriminalci su stvorili Facebook profil za lažnu ženu koji je korišten za promociju poveznica koje vode do prijeteće aplikacije za razmjenu poruka nazvane Dardesh. Kampanja Desert Scorpion uključivala je jedan od karakterističnih postupaka povezanih s APT-C-23 - razdvajanje prijeteće funkcionalnosti napada u nekoliko faza, jer je aplikacija Dardesh djelovala jednostavno kao kapaljka u prvom stupnju koja je isporučila stvarni teret u drugoj fazi.

ATP-23-C obnovili su svoju aktivnost s početkom 2020. godine jer su bili povezani s kampanjom napada na vojnike IDF-a (Izraelske obrambene snage). Hakeri nisu odstupili od svojih uobičajenih operacija i ponovno su koristili programe za razmjenu poruka kako bi isporučili trojanske prijetnje za krađu informacija. Prijetnje su promovirale posebno izrađene web stranice koje su dizajnirane za oglašavanje lažnih funkcionalnosti aplikacija i pružaju izravne veze za preuzimanje koje bi ciljane žrtve mogle koristiti.

Najnovija operacija koja se pripisuje ATP-23-C uključuje upotrebu znatno poboljšane verzije njihovog trojanskog alata koji su istraživači iz ESET-a nazvali Android / SpyC23.A . Hakeri su i dalje usmjereni na istu regiju sa svojim prijetećim alatom koji se predstavlja kao aplikacija WeMessage koja je otkrivena na uređajima korisnika smještenih u Izraelu. Uz uobičajeni niz funkcija koji se očekuju od modernog trojanca za krađu informacija, Android / SpyC23.A opremljen je s nekoliko novih moćnih sposobnosti. Može pokretati pozive skrivajući svoju aktivnost iza crnog zaslona prikazanog na ugroženom uređaju. Uz to, Trojanac je sposoban odbaciti razne obavijesti iz različitih Android sigurnosnih aplikacija koje ovise o određenom modelu ili proizvođaču infiltriranog uređaja. Jedinstvena značajka Androida / SpyC23.A je sposobnost odbacivanja vlastitih obavijesti. Prema istraživačima, takva bi funkcija mogla biti korisna za sakrivanje određenih upozorenja o pogreškama koje bi se mogle pojaviti tijekom pozadinskih aktivnosti Trojanca.

ATP-23-C prilično je plodna sofisticirana hakerska skupina koja pokazuje tendenciju neprestanog razvoja njihovih alata za zlonamjerni softver, kao i primjena strategija socijalnog inženjeringa namijenjenih određenim skupinama korisnika.