CHEESETRAY
Az APT38 (haladó tartós fenyegetés) ismét a hírekben található. Ez a hackelési csoport Észak-Koreából működik, és Lazarus álnéven is ismert. Bűncselekményeik annyira túlmutattak, hogy egyes tagjaikat jelenleg az Egyesült Államok Szövetségi Nyomozó Irodája akarja. Az APT38 csoport fő motivációja monetáris nyereségnek tűnik, mivel világszerte általában nagy pénzügyi intézményeket és bankokat céloznak meg. Úgy gondolják, hogy ezt a csapkodó csoportot közvetlenül az észak-koreai kormány szponzorálja, tehát valószínű, hogy Kim Jong-un ajánlatát teszik.
Tartalomjegyzék
Lehetővé teszi a támadóknak, hogy hosszú ideig csendben gyűjtsenek adatokat
Az APT38 hackerek csoportja általában időt vesz igénybe egy művelet végrehajtásakor. Gyakran beszivárognak a célpontjukba, és mindaddig költenek, amíg képesek a radar alatt, miközben adatokat gyűjtenek az áldozat rendszeréről. Ez segít a támadóknak eldönteni, hogy miként kell pontosan végrehajtani a kampányt a maximális eredmény elérése érdekében. A CHEESETRAY eszköz egy hátsó ajtó trójai, amely része az APT38 csoport arzenáljának, és hosszú távú hozzáférést biztosít az operátorok számára a veszélyeztetett rendszerhez. A CHEESETRAY rosszindulatú program érdekes tulajdonsága, hogy úgy lett beállítva, hogy képes legyen aktív vagy passzív módban is működni. Az aktív vagy passzív módban történő futást az a rendszer határozza meg, amelybe a fenyegetés behatolt.
Aktív és Passzív mód
Az aktív hátsó ajtó kapcsolatot létesít a támadók C&C (Command & Control) szerverével, és azonnal megkezdi az adatok küldését és fogadását. Ennek a megközelítésnek a negatív oldala azonban az, hogy ez meglehetősen zajos, és egy legitim rosszindulatú programok elleni alkalmazás valószínűleg nagyon gyorsan észleli a nem biztonságos tevékenységeket. A passzív hátsó ajtó sokkal csendesebb megközelítést alkalmaz. Ez az üzemmód lehetővé tenné, hogy a CHEESETRAY hátsó ajtó nyugalmi állapotban maradjon, és valószínűleg elkerülje az észlelést. A fenyegetés mindaddig inaktív marad, amíg meg nem kapja a mágikus csomagot, amelyet egy bizonyos hálózati portra szállítanak. E módszer alkalmazásával az APT38 csoport gondoskodik arról, hogy minimális nyom maradjon fenn a fenyegető tevékenységéből.
képességek
A CHEESETRAY hátsóajtó trójai lehetővé teszi üzemeltetőinek, hogy:
- Távoli shell parancsok küldése.
- Törölje a rendszeren lévő fájlokat.
- Vegye figyelembe a Távoli asztal munkameneteit.
- Helyezze el a sérült kódot törvényes folyamatokba.
- Sorolja fel a rendszeren futó folyamatokat.
- Gyűjtse össze a fájlrendszer adatait, például a fájlneveket és a mappaneveket.
- Töltse fel a fájlokat a fertőzött rendszeren.
- Töltse le a fájlokat a kiválasztott URL-ről.
Az APT38 hackelési csoport tevékenysége valószínűleg nem szűnik meg hamarosan, így továbbra is látni fogjuk őket, hogy a belátható jövőben elkészítsék a címeket.
