Ke3chang

Een van de meest populaire hackgroepen, waarvan wordt aangenomen dat ze uit China komen, is de Ke3chang APT (Advanced Persistent Threat). Ze zijn ook bekend als APT15. In de loop van de tijd hebben malware-onderzoekers de activiteiten van de Ke3chang-hackgroep nauwlettend in de gaten gehouden en een aantal interessante ontdekkingen gedaan. Het lijkt erop dat de campagnes van APT15 enkele belangrijke overeenkomsten vertonen met die van andere Chinese hackgroepen, zoals vergelijkbare tactieken, bijna identieke infrastructuur en bijpassende payloads. Tot deze in China gevestigde hackgroepen behoren Playful Dragon, GREF, RoyalAPT, Vixen Panda en Mirage. Meestal betekenen zulke nauwe overeenkomsten een van twee dingen (of beide) - bepaalde prominente hackers zijn lid van meer dan één groep, of/en de hackgroepen delen informatie en technieken die voor beide partijen voordelig zijn.

Ke3chang’s arsenaal aan hacktools

De hackgroep Ke3chang heeft de neiging om industrieën of individuen van groot belang aan te vallen. Het is bekend dat ze aanvallen hebben uitgevoerd op het leger en de olie-industrie, maar ook op diplomaten, politici en verschillende overheidsinstanties. De hackgroep Ke3chang ontwikkelt zijn eigen hacktools en voert zijn activiteiten vrijwel uitsluitend met deze uit. Enkele van de tools in het enorme arsenaal van de Ke3chang-groep zijn TidePool , Ketrican , RoyalDNS , BS2005 , Okrum en andere. Cybersecurity-experts hebben echter een campagne gezien waarin de Ke3chang-hackgroep een openbaar beschikbare hacktool genaamd Mimikatz gebruikte , die wordt gebruikt voor het verzamelen van informatie van de gecompromitteerde host.

Hoe de Ke3chang-groep hun aanvallen gewoonlijk uitvoert?

In 2010 kwam de Ke3chang APT op de kaart met zijn beruchte campagne tegen hooggeplaatste politici in Europa. Het is ook bekend dat ze in Zuid-Amerika campagnes hebben gelanceerd die op vergelijkbare individuen zijn gericht. Gewoonlijk zorgt de Ke3chang-hackgroep ervoor dat een host wordt geïnfiltreerd en informatie over het systeem wordt verzameld, zoals software- en hardwaregegevens. Dit helpt de aanvallers om te beslissen wat de meest efficiënte manier is om de operatie voort te zetten. Andere gegevens worden ook geëxfiltreerd, zoals chatlogs, wachtwoorden, documenten, enz. Vervolgens kunnen de aanvallers ervoor kiezen om hun privileges op de gecompromitteerde machine te gebruiken en proberen te infiltreren in andere potentieel kwetsbare systemen die op hetzelfde netwerk zijn aangesloten.

De Okrum-malware

De parel in de kroon van de Ke3chang Group is de Okrum-malware. Deze dreiging is vooral complex en indrukwekkend. De hackgroep gebruikt ook een nogal ingewikkelde propagatiemethode: steganografie. Deze techniek omvat het injecteren van het gecompromitteerde script van de dreiging in een specifiek op maat gemaakt PNG-bestand.

Gewoonlijk zorgt de Ke3chang-hackgroep ervoor om persistentie te krijgen in het geïnfecteerde systeem. Dit helpt hen om de aangeplante dreiging langer actief te houden.

Trending

Meest bekeken

Bezig met laden...