팩랫

Packrat 해킹 그룹은 아르헨티나, 브라질, 에콰도르 등 남미에 집중된 여러 광범위한 작업을 수행한 APT(Advanced Persistent Threat)입니다. Packrat 그룹의 활동은 2015년에 최고조에 달했습니다. Packrat 위협 행위자는 정찰 캠페인과 함께 피싱 및 데이터 절도 작업을 수행하는 경향이 있습니다. 사이버 보안 연구원들은 선호하는 도구가 RAT(원격 액세스 트로이 목마)이기 때문에 이 해킹 그룹에 대해 이 이름을 선택했습니다. Packrat 그룹에서 사용하는 대부분의 RAT는 흔히 상품으로서의 악성코드라고 하는 것으로 보입니다. 팩랫 그룹에서 사용하는 해킹 도구를 대부분 구매하거나 대여한다는 뜻이다. Packrat 액터는 처음부터 맬웨어를 구축하는 것보다 사회 공학을 전문으로 하는 것으로 보입니다.

Packrat 해킹 그룹은 사이버 범죄 분야에서 매우 경험이 많을 것입니다. 그들의 캠페인은 복잡하고 잘 실행됩니다. 이 위협 행위자는 소셜 엔지니어링 트릭을 최대한 세련되게 만들기 위해 가짜 ID와 전체 사기성 회사 및 조직을 만드는 것으로 알려져 있습니다. 일부 맬웨어 전문가는 Packrat 그룹이 정부 후원을 받을 수 있다고 생각합니다. 이는 Packrat 위협 행위자의 표적이 고위 정치인, 탐사 저널리스트, 언론 기관 및 기타 관심 있는 대기업이라는 사실 때문입니다. 또한 Packrat 해킹 그룹이 수행한 캠페인은 유지 관리 비용이 수십만 달러에 달하는 것으로 보입니다.

Packrat 그룹은 피싱 작업을 통해 위협을 전파합니다. 이러한 캠페인에는 공격자가 설정한 앞에서 언급한 가짜 조직 및 ID가 포함됩니다. Packrat 그룹의 일부 대상은 문자 메시지를 통한 피싱이기도 합니다. Packrat 위협 행위자가 가장 일반적으로 사용하는 위협 중에는 Alien Spy , Adzok, Cybergate 및 Xtreme RAT가 있습니다. Packrat 해킹 그룹의 피싱 캠페인은 Facebook, Twitter, Google 및 다양한 인스턴트 메시징 유틸리티와 같은 인기 있는 웹사이트 및 서비스의 로그인 자격 증명을 대상으로 합니다. 그들의 사회 공학 전술을 완성하기 위해 Packrat 위협 행위자는 또한 그들의 정교한 단점에 영향을 주는 허위 정보가 유일한 목적인 가짜 웹 페이지를 만들 것입니다.

이벤트 타임라인

2008-2013

Packrat 그룹이 사용하는 도구와 명령 및 제어 인프라는 이미 2008년에 활발히 운영되고 있었던 것으로 보입니다. 그룹이 운영된 첫 5년 동안 위협 범죄자는 브라질에 위치한 호스팅 서비스를 사용했으며 일부 맬웨어 샘플은 다음과 같습니다. 브라질 IP에서 온라인 바이러스 검색 서비스에 업로드했습니다. Packrat 그룹이 해당 기간 동안 희생자를 미끼로 사용했던 샘플 메시지의 대부분은 브라질 사회 공학 콘텐츠로 채워져 있어 해커가 남미에서 가장 큰 국가를 독점적으로 목표로 삼았음을 시사합니다.

2014-2015

비교적 순조로운 시간을 보낸 후 Packrat은 저명한 아르헨티나 저널리스트이자 TV 뉴스 진행자인 Jorge Lanata와 아르헨티나의 유명 변호사이자 연방 검사인 Alberto Nisman을 표적으로 삼았을 때 심해에 들어갔습니다. Nisman은 당시 아르헨티나 대통령인 Cristina Elisabet Fernández de Kirchner를 포함하여 아르헨티나 정부의 고위 관리에 대한 유죄 증거를 가지고 있었던 것으로 추정됩니다.

Packrat 그룹이 사용하는 악성코드의 발견은 Nisman이 2015년 1월 18일 부에노스아이레스 아파트에서 총상으로 숨진 채 발견되었을 때 이루어졌습니다. 부에노스아이레스 경찰청 법의학 연구소는 Nisman의 Android 휴대전화를 검사하고 악성 파일을 발견했습니다. 이름은 '' estrictamente secreto y confidencial.pdf.jar ''로, 영어로 '' 엄밀히 비밀 스럽고 기밀'로 번역됩니다.

동일한 파일이 나중에 아르헨티나의 온라인 바이러스 데이터베이스에 업로드되어 위협 행위자가 피해자의 활동을 기록하고 웹캠, 이메일 및 더. 이 파일은 Windows용으로 제작되었으므로 공격자는 Nisman을 해킹하려는 시도에 실패했을 수 있습니다. Nisman은 자신의 Android 휴대전화에서 파일을 열었습니다.

악성코드 발견이 공개된 후 다른 사람들도 자신도 표적이 되었다고 말했습니다. 당시 아르헨티나 대통령 크리스티나 엘리자베트 페르난데스 데 키르히너(Cristina Elisabet Fernández de Kirchner)와 전 아르헨티나 대통령 네스토르 키르히네르 (Néstor Kirchner)의 아들인 막시모 키르히너(Máximo Kirchner)는 아르헨티나 판사인 클라우디오 보나디오(Claudio Bonadio) 를 사칭한 이메일의 스크린샷을 제공하면서 같은 악성코드의 표적이 됐다고 주장했다. claaudiobonadio88@gmail.com .

[캡션 id="attachment_501190" align="aligncenter" 너비="300"] Máximo Kirchner가 이메일을 받았습니다. 출처: ambito.com[/캡션]

Citizen Lab의 Morgan Marquis-Boire의 초기 분석에 따르면 Kircher, Lanata 및 Nisman에 사용된 악성 코드는 deyrep24.ddns.net이라는 명령 및 제어(C2) 서버에 연결되었습니다. 추가 검사에서 동일한 deyrep24.ddns.net C2 도메인이 3개의 다른 멀웨어 샘플에서 사용되는 것으로 나타났습니다. 샘플 중 하나는 '' 3 MAR PROYECTO GRIPEN.docx.jar ''라는 악성 문서로, 주 스웨덴 에콰도르 대사와 라파엘 코레아 에콰도르 대통령 사이에 전투기 획득 문제에 대한 통신이 포함된 것으로 추정됩니다.

Citizen Lab의 연구원들은 2015년 에콰도르에서 언론인 및 공인에 대한 피싱 공격에 대한 수많은 보고를 받은 후 추가 연구를 수행했습니다. 그들이 조사한 악성 이메일 및 SMS 중 다수는 정치적인 주제가 아니라 다양한 이메일 제공업체 및 소셜 네트워크의 자격 증명 수집기였습니다. 미디어. 추가 연구에 따르면 에콰도르의 캠페인에는 에콰도르의 다양한 정치적 문제와 인물, 많은 가짜 프로필 및 조직 생성에 관한 명시적인 정치적 내용이 포함되어 있습니다.

연구원들은 광범위한 에콰도르 캠페인에 사용된 멀웨어와 피싱 사이트 간의 방대한 상호 연결 웹을 발견했습니다. 그들이 배포한 악성 코드는 AlienSpy 및 Adzok과 같은 대부분 Java RAT였습니다. 많은 웹사이트가 등록 정보를 공유했지만 멀웨어 샘플은 일반적으로 아르헨티나 사례와 연결된 도메인인 daynews.sytes.net과 통신했습니다. 조사 결과 베네수엘라의 가짜 사이트와 브라질의 인프라도 드러났다.

[캡션 id="attachment_501254" align="aligncenter" 너비="300"] Packrat의 C2 인프라. 출처: citizenlab.ca[/캡션]

Packrat 해킹 그룹은 수년 동안 비교적 안전한 상태로 잘 발달된 인프라를 보유하고 있습니다. Packrat 해킹 그룹이 수행하는 대규모의 비용이 많이 들고 잘 다듬어진 캠페인은 자금이 충분하고 유지 관리되는 국가 후원 행위자를 가리킵니다.

팩랫 스크린샷