CHEESETRAY
De APT38 (Advanced Persistent Threat) is opnieuw in het nieuws. Deze hackgroep werkt vanuit Noord-Korea en is ook bekend onder de naam Lazarus. Hun criminele activiteiten zijn zo overboord gegaan dat sommige van hun leden momenteel worden gezocht door het Amerikaanse Federal Bureau of Investigation. De belangrijkste motivatie van de APT38-groep lijkt monetaire winst te zijn, omdat ze zich meestal richten op grote financiële instellingen en banken wereldwijd. Aangenomen wordt dat deze hackgroep rechtstreeks door de Noord-Koreaanse overheid wordt gesponsord, dus het is waarschijnlijk dat ze het bieden van Kim Jong-un doen.
Inhoudsopgave
Hiermee kunnen de aanvallers lang stil gegevens verzamelen
De hackgroep van APT38 neemt de tijd om een operatie uit te voeren. Ze infiltreren vaak in hun doelwit en spenderen zolang ze kunnen onder hun radar, allemaal terwijl ze gegevens verzamelen over het systeem van het slachtoffer. Dit helpt de aanvallers om te beslissen hoe ze de campagne precies uitvoeren, zodat ze maximale resultaten kunnen behalen. De CHEESETRAY-tool is een Trojaanse achterdeur, die deel uitmaakt van het arsenaal van de APT38-groep en waarmee zijn operators op lange termijn toegang hebben tot het gecompromitteerde systeem. Een interessant kenmerk van de CHEESETRAY-malware is dat deze is ingesteld om te kunnen werken in actieve of passieve modus. Of het in actieve of passieve modus wordt uitgevoerd, wordt bepaald door het systeem dat de dreiging is geïnfiltreerd.
Actieve modus en passieve modus
Een actieve achterdeur zou een verbinding tot stand brengen met de C&C (Command & Control) -server van de aanvaller en onmiddellijk beginnen met het verzenden en ontvangen van gegevens. De negatieve kant van deze aanpak is echter dat dit nogal luidruchtig is en dat een legitieme anti-malware-toepassing de onveilige activiteit waarschijnlijk snel zal herkennen. Een passieve achterdeur heeft een veel stillere aanpak. In deze modus blijft de CHEESETRAY-achterdeur inactief en wordt detectie waarschijnlijk vermeden. De dreiging blijft inactief totdat deze een zogenaamd 'magisch pakket' ontvangt dat wordt afgeleverd op een bepaalde netwerkpoort. Door deze methode te gebruiken, zorgt de APT38-groep ervoor dat er minimale sporen overblijven van zijn bedreigende activiteit.
mogelijkheden
Met de CHEESETRAY backdoor Trojan kunnen zijn operators:
- Stuur externe shell-opdrachten.
- Verwijder bestanden die op het systeem aanwezig zijn.
- Bekijk Remote Desktop-sessies.
- Plant de beschadigde code in legitieme processen.
- Lijst processen die op het systeem worden uitgevoerd.
- Verzamel gegevens over het bestandssysteem, zoals bestandsnamen en mapnamen.
- Upload bestanden op het geïnfecteerde systeem.
- Download bestanden van een geselecteerde URL.
De activiteit van de hackgroep van APT38 zal waarschijnlijk niet snel stoppen, dus we zullen blijven zien dat ze in de nabije toekomst de krantenkoppen halen.
