CHEESETRAY
L'APT38 (Advanced Persistent Threat) è di nuovo nelle notizie. Questo gruppo di hacker opera dalla Corea del Nord ed è anche conosciuto con il nome di Lazarus. Le loro attività criminali sono state così esagerate che alcuni dei loro membri sono attualmente ricercati dall'Ufficio investigativo federale degli Stati Uniti. La principale motivazione del gruppo APT38 sembra essere il guadagno monetario in quanto tendono a colpire grandi istituzioni finanziarie e banche in tutto il mondo. Si ritiene che questo gruppo di hacker sia sponsorizzato direttamente dal governo nordcoreano, quindi è probabile che stiano facendo le offerte di Kim Jong-un.
Sommario
Consente agli aggressori di raccogliere dati per un periodo di tempo prolungato in silenzio
Il gruppo di hacking APT38 tende a impiegare del tempo durante l'esecuzione di un'operazione. Spesso si infiltrano nel loro obiettivo e trascorrono il più a lungo possibile sotto il loro radar, tutto mentre raccolgono dati sul sistema della sua vittima. Questo aiuta gli aggressori a decidere esattamente come eseguire la campagna in modo che possano ottenere i massimi risultati. Lo strumento CHEESETRAY è un Trojan backdoor, che fa parte dell'arsenale del gruppo APT38 e consente ai suoi operatori di avere accesso al sistema compromesso a lungo termine. Una caratteristica interessante del malware CHEESETRAY è che è stata impostata per avere la possibilità di operare in modalità attiva o passiva. Se sta funzionando in modalità attiva o passiva è determinato dal sistema che la minaccia si è infiltrata.
Modalità attiva e modalità passiva
Una backdoor attiva stabilirebbe una connessione con il server C&C (Command & Control) degli aggressori e inizierebbe immediatamente a inviare e ricevere dati. Tuttavia, il lato negativo di questo approccio è che questo è piuttosto rumoroso e un'applicazione legittima anti-malware probabilmente individuerà l'attività non sicura molto rapidamente. Una backdoor passiva ha un approccio molto più silenzioso. Questa modalità consentirebbe alla backdoor CHEESETRAY di rimanere inattiva e probabilmente di evitare il rilevamento. La minaccia rimarrà inattiva fino a quando non riceve quello che viene chiamato un "pacchetto magico", che viene consegnato a una determinata porta di rete. Utilizzando questo metodo, il gruppo APT38 si assicura che rimangano tracce minime dalla sua attività minacciosa.
funzionalità
Il Trojan backdoor CHEESETRAY consente ai suoi operatori di:
- Invia comandi shell remoti.
- Elimina i file presenti sul sistema.
- Osservare le sessioni di Desktop remoto.
- Pianta il suo codice danneggiato in processi legittimi.
- Elencare i processi in esecuzione sul sistema.
- Raccogliere dati sul file system, come nomi di file e nomi di cartelle.
- Carica file sul sistema infetto.
- Scarica i file da un URL selezionato.
L'attività del gruppo di hacker APT38 probabilmente non cesserà presto, quindi continueremo a vederli fare notizia in un futuro prevedibile.
