APT-C-23

APT-C-23 è il nome assegnato a un gruppo di hacker APT (Advanced Persistent Threat). Lo stesso gruppo è noto anche come Scorpione a due code o Scorpione del deserto. È stato osservato che gli hacker conducono diverse campagne minacciose mirate contro utenti che si trovano in Medio Oriente. APT-C-23 utilizza sia strumenti Windows che Android nelle loro operazioni.

Le attività del gruppo sono state dettagliate per la prima volta dai ricercatori di Qihoo 360 Technology nel marzo 2017. Lo stesso anno, vari team di ricerca di infosec hanno iniziato a rilevare diversi strumenti Trojan per il furto di informazioni che sono stati attribuiti ad APT-C-23:

• Palo Alto Networks ha descritto una minaccia che hanno chiamato VAMP
• Lookout ha analizzato un Trojan che hanno chiamato FrozenCell
• TrendMicro ha scoperto la minaccia GnatSpy

Nel 2018 Lookout è riuscito a rilevare uno degli strumenti Trojan distintivi nell'arsenale di APT-C-23 che hanno chiamato Desert Scorpion. Si dice che la campagna che coinvolge Desert Scorpion abbia preso di mira oltre 100 obiettivi dalla Palestina. Gli hacker erano riusciti a intrufolare la loro minaccia malware sul Google Play Store ufficiale, ma si sono affidati a numerose tattiche di ingegneria sociale per attirare le loro vittime a scaricarlo. I criminali hanno creato un profilo Facebook per una donna finta che è stato utilizzato per promuovere i collegamenti che portano alla minacciosa applicazione di messaggistica chiamata Dardesh. La campagna Desert Scorpion ha coinvolto una delle procedure caratteristiche associate all'APT-C-23: la separazione della funzionalità minacciosa dell'attacco in più fasi poiché l'applicazione Dardesh ha agito semplicemente come un contagocce di primo stadio che ha consegnato il carico utile del secondo stadio.

L'ATP-23-C ha ripreso la sua attività all'inizio del 2020 poiché era associato a una campagna di attacco contro i soldati dell'IDF (Israel Defense Force). Gli hacker non si sono discostati dalle loro operazioni standard e ancora una volta hanno utilizzato applicazioni di messaggistica per fornire minacce Trojan che rubano informazioni. Le applicazioni minacciose sono state promosse da siti Web appositamente realizzati che sono stati progettati per pubblicizzare le funzionalità false delle applicazioni e fornire collegamenti per il download diretto che le vittime mirate potrebbero utilizzare.

L'ultima operazione attribuita all'ATP-23-C prevede l'uso di una versione notevolmente migliorata del loro strumento Trojan che è stato chiamato Android / SpyC23.A dai ricercatori di ESET. Gli hacker sono ancora concentrati sulla stessa regione con il loro strumento minaccioso che si spaccia per l'applicazione WeMessage rilevata sui dispositivi degli utenti situati in Israele. Oltre alla normale gamma di funzioni che ci si aspetta da un moderno Trojan che ruba informazioni, Android / SpyC23.A è stato dotato di diverse nuove potenti abilità. Può avviare chiamate nascondendo la sua attività dietro uno schermo nero visualizzato sul dispositivo compromesso. Inoltre, il Trojan è in grado di ignorare varie notifiche da diverse applicazioni di sicurezza Android che dipendono dal modello o dal produttore specifico del dispositivo infiltrato. Una caratteristica unica di Android / SpyC23.A è la sua capacità di ignorare le proprie notifiche. Secondo i ricercatori, tale funzione potrebbe essere utile per nascondere alcuni avvisi di errore che potrebbero comparire durante le attività in background del Trojan.

ATP-23-C è un gruppo di hacker sofisticato piuttosto prolifico che mostra la tendenza a evolvere costantemente i propri strumenti malware e ad impiegare strategie di ingegneria sociale progettate per prendere di mira gruppi di utenti specifici.