Packrat
Il gruppo di hacker Packrat è un Advanced Persistent Threat (APT) che ha svolto diverse operazioni di vasta portata concentrate in Sud America: Argentina, Brasile ed Ecuador. L'attività del gruppo Packrat ha raggiunto il suo apice nel 2015. L'attore della minaccia Packrat tende a svolgere operazioni di phishing e furto di dati, oltre a campagne di ricognizione. I ricercatori della sicurezza informatica hanno scelto questo nome per questo gruppo di hacker poiché il loro strumento preferito è RAT (Remote Access Trojans). La maggior parte dei RAT utilizzati dal gruppo Packrat sembra essere ciò che viene spesso definito malware-as-a-commodity. Ciò significa che gli strumenti di hacking utilizzati dal gruppo Packrat vengono acquistati o noleggiati principalmente. L'attore di Packrat sembra essere specializzato nell'ingegneria sociale piuttosto che nella creazione di malware da zero.
È probabile che il gruppo di hacker Packrat sia molto esperto nel campo della criminalità informatica. Le loro campagne sono complesse e ben eseguite. Questo attore di minacce è noto per creare identità false e intere società e organizzazioni fraudolente per rendere i loro trucchi di ingegneria sociale il più raffinati possibile. Alcuni esperti di malware ritengono che il gruppo Packrat possa essere sponsorizzato dal governo. Ciò è dovuto al fatto che gli obiettivi dell'attore della minaccia Packrat sono spesso politici di alto rango, giornalisti investigativi, organizzazioni dei media e altre grandi aziende di interesse. Inoltre, sembrerebbe che le campagne condotte dal gruppo di hacker Packrat siano piuttosto costose da mantenere, probabilmente nell'ordine di centinaia di migliaia di dollari.
Il gruppo Packrat diffonderebbe le proprie minacce tramite operazioni di phishing. Queste campagne coinvolgerebbero le organizzazioni e le identità false precedentemente menzionate create dagli aggressori. Alcuni degli obiettivi del gruppo Packrat sarebbero anche il phishing tramite messaggi di testo. Tra le minacce più comunemente utilizzate dall'attore minaccioso Packrat ci sono Alien Spy , Adzok, Cybergate e Xtreme RAT . Le campagne di phishing del gruppo di hacker Packrat avrebbero preso di mira le credenziali di accesso per siti Web e servizi popolari come Facebook, Twitter, Google e varie utilità di messaggistica istantanea. Per perfezionare le loro tattiche di ingegneria sociale, l'attore della minaccia Packrat creerà anche pagine Web fasulle il cui unico scopo è la disinformazione che alimenta i loro complicati contro.
Sommario
Cronologia degli eventi
2008-2013
Gli strumenti e l'infrastruttura di comando e controllo utilizzati dal gruppo Packrat suggeriscono che stessero operando attivamente già nel 2008. Durante i primi cinque anni di attività del gruppo, gli attori delle minacce hanno utilizzato servizi di hosting situati in Brasile, con alcuni dei loro campioni di malware che sono stati caricato su servizi di scansione antivirus online da IP brasiliani. Molti dei messaggi di esempio che il gruppo Packrat usava per attirare le vittime in quel periodo erano pieni di contenuti di ingegneria sociale brasiliana, suggerendo che gli hacker avevano preso di mira esclusivamente il più grande paese sudamericano.
2014-2015
Dopo un periodo relativamente tranquillo, Packrat è entrata in acque profonde quando ha preso di mira il noto giornalista e conduttore televisivo argentino Jorge Lanata e Alberto Nisman , un avvocato e procuratore federale argentino di alto profilo. Nisman avrebbe avuto prove incriminanti contro alti funzionari del governo argentino, tra cui l'allora attuale presidente dell'argentina Cristina Elisabet Fernández de Kirchner .
La scoperta del malware utilizzato dal gruppo Packrat è stata fatta quando Nisman è stato trovato morto per una ferita da arma da fuoco nel suo appartamento di Buenos Aires il 18 gennaio 2015. Il laboratorio forense della Polizia Metropolitana di Buenos Aires ha esaminato il telefono Android di Nisman e ha trovato un file dannoso denominato '' estrictamente secreto y confidencial.pdf.jar '', che si traduce in '' rigorosamente segreto e confidenziale '' in inglese.
Un file identico è stato successivamente caricato in un database di virus online dall'Argentina, rivelando che si tratta di AlienSpy, un toolkit di accesso remoto malware-as-a-service che offre agli attori delle minacce la possibilità di registrare le attività delle loro vittime, accedere alla loro webcam, e-mail e di più. Il file è stato creato per Windows, il che significa che gli aggressori potrebbero non aver avuto successo nei loro tentativi di hackerare Nisman, che lo ha aperto sul suo telefono Android.
Dopo che la scoperta del malware è stata resa pubblica, altri si sono fatti avanti, affermando di essere stati presi di mira anche loro. Máximo Kirchner, figlio dell'allora presidente dell'Argentina Cristina Elisabet Fernández de Kirchner e dell'ex presidente argentino Néstor Kirchner , ha affermato di essere stato preso di mira dallo stesso malware, fornendo screenshot di un'e-mail che ha ricevuto da qualcuno che impersona il giudice argentino Claudio Bonadio con un indirizzo claudiobonadio88@gmail.com .
Email ricevuta da Máximo Kirchner. Fonte: ambito.com
Un'analisi iniziale di Morgan Marquis-Boire di Citizen Lab ha rivelato che il malware utilizzato contro Kircher, Lanata e Nisman era collegato a un server di comando e controllo (C2) denominato deyrep24.ddns.net. Lo stesso dominio deyrep24.ddns.net C2 è stato trovato utilizzato da altri tre campioni di malware dopo un'ulteriore ispezione. Uno dei campioni era un documento dannoso chiamato " 3 MAR PROYECTO GRIPEN.docx.jar " e presumibilmente conteneva comunicazioni tra l'ambasciatore dell'Ecuador in Svezia e il presidente dell'Ecuador Rafael Correa sulla questione dell'acquisizione di jet da combattimento.
I ricercatori di Citizen Lab hanno condotto ulteriori ricerche dopo aver ricevuto numerose segnalazioni di attacchi di phishing contro giornalisti e personaggi pubblici in Ecuador nel 2015. Molte delle e-mail e degli SMS dannosi che hanno esaminato non erano a tema politico ma erano solo raccoglitori di credenziali per diversi provider di posta elettronica e social media. Ulteriori ricerche hanno rivelato che la campagna in Ecuador includeva contenuti esplicitamente politici, riguardanti un'ampia varietà di questioni e figure politiche nel paese, nonché la creazione di molti profili e organizzazioni falsi.
I ricercatori hanno scoperto una vasta rete di interconnessione tra malware e siti di phishing, utilizzata nella vasta campagna ecuadoriana. Il malware che hanno distribuito era principalmente Java RAT, come AlienSpy e Adzok. Molti dei siti Web condividevano le informazioni di registrazione, mentre i campioni di malware comunicavano in genere con daynews.sytes.net, un dominio anch'esso collegato ai casi argentini. L'indagine ha anche rivelato siti falsi in Venezuela e infrastrutture in Brasile.
L'infrastruttura C2 di Packrat. Fonte: citizenlab.ca
Il gruppo di hacker Packrat dispone di un'infrastruttura ben sviluppata che è rimasta relativamente sicura per diversi anni. Le campagne su larga scala, costose e ben rifinite condotte dal gruppo di hacker Packrat indicano un attore sponsorizzato dallo stato che è ben finanziato e mantenuto.
Packrat screenshot
URL
Packrat può chiamare i seguenti URL:
| conhost.servehttp.com |
| daynews.sytes.net |
| deyrep24.ddns.net |
| dllhost.servehttp.com |
| lolinha.no-ip.org |
| ruley.no-ip.org |
| taskmgr.redirectme.com |
| taskmgr.serveftp.com |
| taskmgr.servehttp.com |
| wjwj.no-ip.org |
| wjwjwj.no-ip.org |
| wjwjwjwj.no-ip.org |
