CHEESETRAY
APT38 (Advanced Persistent Threat) er i nyhetene igjen. Denne hacking-gruppen opererer fra Nord-Korea og er også kjent under aliaset Lazarus. Deres kriminelle aktiviteter har gått så langt at noen av medlemmene er ønsket av USAs føderale etterforskningsbyrå for tiden. APT38-gruppens viktigste motivasjon ser ut til å være monetær gevinst da de pleier å målrette mot store finansinstitusjoner og banker over hele verden. Det antas at denne hackinggruppen er sponset av den nordkoreanske regjeringen direkte, så det er sannsynlig at de gir Kim Jong-uns bud.
Innholdsfortegnelse
Tillater angriperne å samle inn data over lang stille
Hackinggruppen APT38 har en tendens til å ta sin tid når de utfører en operasjon. De vil ofte infiltrere målet sitt og bruke så lenge de kan under radaren, alt mens de samler inn data om offerets system. Dette hjelper angriperne med å bestemme hvordan de skal gjennomføre kampanjen nøyaktig slik at de kan oppnå maksimale resultater. CHEESETRAY-verktøyet er en bakdør Trojan, som er en del av APT38-gruppens arsenal og lar operatørene få tilgang til det kompromitterte systemet på lang sikt. Et interessant trekk ved CHEESETRAY-malware er at det er satt opp for å ha muligheten til å operere enten i aktiv modus eller i en passiv modus. Om det kjører i aktiv eller passiv modus bestemmes av systemet at trusselen har infiltrert.
Aktiv modus og passiv modus
En aktiv bakdør ville opprette en forbindelse med angripernes C & C (Command & Control) server og begynne å sende og motta data umiddelbart. Imidlertid er den negative siden av denne tilnærmingen at dette er ganske støyende, og en legitim anti-malware-applikasjon vil sannsynligvis oppdage den utrygge aktiviteten veldig raskt. En passiv bakdør har en mye mer lydløs tilnærming. Denne modusen gjør at CHEESETRAY-bakdøren kan holde seg i dvale og sannsynligvis unngå oppdagelse. Trusselen vil forbli inaktiv til den mottar det som kalles en 'magisk pakke', som blir levert til en bestemt nettverksport. Ved å bruke denne metoden, sørger APT38-gruppen for at det er minimale spor igjen fra dens truende aktivitet.
Capabilities
CHEESETRAY-bakdøren Trojan lar operatørene sine:
- Send eksterne shell-kommandoer.
- Slett filer som er til stede på systemet.
- Følg økter med eksternt skrivebord.
- Planter den ødelagte koden i legitime prosesser.
- Liste over prosesser som kjører på systemet.
- Samle data om filsystemet, for eksempel filnavn og mappenavn.
- Last opp filer på det infiserte systemet.
- Last ned filer fra en valgt URL.
Aktiviteten til hackinggruppen APT38 vil sannsynligvis ikke opphøre noen gang snart, så vi vil fortsette å se dem komme overskriftene i overskuelig fremtid.
