APT-C-23

APT-C-23 is de naam die is toegewezen aan een Advanced Persistent Threat (APT) -groep van hackers. Dezelfde groep staat ook bekend als Two-Tailed Scorpion of Desert Scorpion. Er is waargenomen dat de hackers verschillende bedreigende campagnes voeren gericht tegen gebruikers in het Midden-Oosten. APT-C-23 gebruikt zowel Windows- als Android-tools bij hun bewerkingen.

De activiteiten van de groep werden voor het eerst beschreven door de onderzoekers van Qihoo 360 Technology in maart 2017. In datzelfde jaar begonnen verschillende infosec-onderzoeksteams verschillende info-stealer Trojan-tools te vangen die werden toegeschreven aan APT-C-23:

• Palo Alto Networks beschreef een bedreiging die ze VAMP noemden
• Lookout analyseerde een Trojaans paard dat ze FrozenCell noemden
• TrendMicro heeft de GnatSpy- dreiging ontdekt

In 2018 slaagde Lookout erin een van de kenmerkende Trojan-tools in het arsenaal van APT-C-23 te detecteren die ze Desert Scorpion noemden. De campagne waarbij Desert Scorpion betrokken was, zou zich richten op meer dan 100 doelen uit Palestina. De hackers waren erin geslaagd hun malwarebedreiging in de officiële Google Play Store te sluipen, maar vertrouwden op tal van social engineering-tactieken om hun slachtoffers ertoe te verleiden het te downloaden. De criminelen creëerden een Facebook-profiel voor een nepvrouw dat werd gebruikt om de links te promoten die naar de bedreigende berichtentoepassing genaamd Dardesh leidden. De Desert Scorpion-campagne omvatte een van de karakteristieke procedures die verband houden met APT-C-23: de scheiding van de bedreigende functionaliteit van de aanval in verschillende fasen, aangezien de Dardesh-applicatie simpelweg fungeerde als een eerste-trap-druppelaar die de daadwerkelijke tweede-trap-lading leverde.

ATP-23-C hervatte hun activiteit begin 2020 omdat ze werden geassocieerd met een aanvalscampagne tegen IDF-soldaten (Israel Defense Force). De hackers weken niet af van hun standaardoperaties en gebruikten opnieuw berichtentoepassingen om informatie-stealer trojans te leveren. De bedreigende applicaties werden gepromoot door speciaal ontworpen websites die waren ontworpen om reclame te maken voor de nepfunctionaliteiten van de applicaties en om directe downloadlinks te bieden die de beoogde slachtoffers konden gebruiken.

De laatste bewerking die aan ATP-23-C wordt toegeschreven, betreft het gebruik van een sterk verbeterde versie van hun Trojan-tool die door de onderzoekers van ESET Android / SpyC23.A heette . De hackers zijn nog steeds gefocust op dezelfde regio met hun bedreigende tool die zich voordoet als de WeMessage-applicatie die wordt gedetecteerd op apparaten van gebruikers in Israël. Naast de normale reeks functies die verwacht worden van een moderne info-stealer Trojan, is Android / SpyC23.A uitgerust met verschillende nieuwe krachtige mogelijkheden. Het kan oproepen starten terwijl het zijn activiteit verbergt achter een zwart scherm dat wordt weergegeven op het gecompromitteerde apparaat. Bovendien kan de Trojan verschillende meldingen van verschillende Android-beveiligingstoepassingen negeren die afhankelijk zijn van het specifieke model of de fabrikant van het geïnfiltreerde apparaat. Een uniek kenmerk van Android / SpyC23.A is de mogelijkheid om zijn EIGEN meldingen te negeren. Volgens de onderzoekers zou een dergelijke functie nuttig kunnen zijn om bepaalde foutmeldingen te verbergen die kunnen verschijnen tijdens de achtergrondactiviteiten van de Trojan.

ATP-23-C is een nogal productieve, geavanceerde hackergroep die de neiging laat zien om hun malwaretools voortdurend te ontwikkelen en om social-engineeringstrategieën toe te passen die zijn ontworpen om zich op specifieke gebruikersgroepen te richten.