Packrat

De Packrat-hackgroep is een Advanced Persistent Threat (APT) die verschillende ingrijpende operaties heeft uitgevoerd, geconcentreerd in Zuid-Amerika - Argentinië, Brazilië en Ecuador. De activiteit van de Packrat-groep bereikte zijn hoogtepunt in 2015. De Packrat-dreigingsactor voert naast verkenningscampagnes vaak phishing- en gegevensdiefstaloperaties uit. Cybersecurity-onderzoekers hebben deze naam voor deze hackgroep gekozen omdat hun voorkeurstool RAT's (Remote Access Trojans) is. De meeste RAT's die door de Packrat-groep worden gebruikt, lijken vaak malware-as-a-commodity te worden genoemd. Dit betekent dat de hacktools die door de Packrat-groep worden gebruikt, meestal worden gekocht of gehuurd. De Packrat-acteur lijkt zich te specialiseren in social engineering in plaats van helemaal opnieuw malware te bouwen.

De hackgroep Packrat heeft waarschijnlijk veel ervaring op het gebied van cybercriminaliteit. Hun campagnes zijn complex en goed uitgevoerd. Van deze dreigingsactor is bekend dat hij valse identiteiten en hele frauduleuze bedrijven en organisaties creëert om hun social engineering-trucs zo gepolijst mogelijk te maken. Sommige malware-experts zijn van mening dat de Packrat-groep mogelijk door de overheid wordt gesponsord. Dit komt doordat de doelwitten van de Packrat-dreigingsactor vaak hooggeplaatste politici, onderzoeksjournalisten, mediaorganisaties en andere grote bedrijven zijn. Bovendien lijkt het erop dat de campagnes die door de hackgroep Packrat worden uitgevoerd, vrij duur zijn om te onderhouden, waarschijnlijk in de honderdduizenden dollars.

De Packrat-groep zou hun bedreigingen verspreiden via phishing-operaties. Deze campagnes zouden betrekking hebben op de eerder genoemde neporganisaties en identiteiten die door de aanvallers zijn opgezet. Sommige van de doelen van de Packrat-groep zouden ook phishing via sms-berichten doen. Een van de meest gebruikte bedreigingen door de bedreigende acteur van Packrat zijn Alien Spy , Adzok, Cybergate en de Xtreme RAT . De phishing-campagnes van de Packrat-hackgroep zouden zich richten op inloggegevens voor populaire websites en services zoals Facebook, Twitter, Google en verschillende hulpprogramma's voor instant messaging. Om hun social engineering-tactieken te perfectioneren, zal de Packrat-dreigingsactor ook nep-webpagina's maken waarvan het enige doel desinformatie is die hun uitgebreide nadelen voedt.

Tijdlijn van gebeurtenissen

2008-2013

De tools en commando- en controle-infrastructuur die de Packrat-groep gebruikt, suggereert dat ze al in 2008 actief waren. geüpload naar online virusscanservices van Braziliaanse IP's. Veel van de voorbeeldberichten die de Packrat-groep in die periode gebruikte om slachtoffers te lokken, waren gevuld met Braziliaanse social engineering-inhoud, wat erop wees dat de hackers zich uitsluitend op het grootste Zuid-Amerikaanse land hadden gericht.

2014-2015

Na een relatief rustige periode belandde Packrat in diepe wateren toen het zich richtte op de bekende Argentijnse journalist en tv-presentator Jorge Lanata en Alberto Nisman, een spraakmakende Argentijnse advocaat en federaal aanklager. Nisman had vermoedelijk belastend bewijsmateriaal tegen hoge functionarissen van de Argentijnse regering, waaronder de toen huidige president van de Argentijnse Cristina Elisabet Fernández de Kirchner .

De ontdekking van de malware die door de Packrat-groep werd gebruikt, werd gedaan toen Nisman op 18 januari 2015 dood werd gevonden door een schotwond in zijn appartement in Buenos Aires. Het forensisch laboratorium van de Buenos Aires Metropolitan Police onderzocht de Android-telefoon van Nisman en vond een kwaadaardig bestand genaamd '' estrictamente secreto y confidencial.pdf.jar '', wat zich vertaalt naar '' strikt geheim en vertrouwelijk '' in het Engels.

Een identiek bestand werd later geüpload naar een online virusdatabase uit Argentinië, waaruit bleek dat het AlienSpy was, een malware-as-a-service toolkit voor externe toegang die bedreigingsactoren de mogelijkheid geeft om de activiteiten van hun slachtoffer vast te leggen, toegang te krijgen tot hun webcam, e-mail en meer. Het bestand is gebouwd voor Windows, wat betekent dat de aanvallers mogelijk niet succesvol waren in hun pogingen om Nisman te hacken, die het op zijn Android-telefoon opende.

Nadat de malware-bevinding openbaar was gemaakt, kwamen anderen naar voren en zeiden dat ze ook het doelwit waren. Máximo Kirchner, de zoon van de toen huidige president van Argentinië Cristina Elisabet Fernández de Kirchner en de voormalige Argentijnse president Néstor Kirchner , beweerde dat hij het doelwit was van dezelfde malware, door screenshots te verstrekken van een e-mail die hij ontving van iemand die zich voordeed als Argentijnse rechter Claudio Bonadio met een adres claudiobonadio88@gmail.com .

[bijschrift id="attachment_501190" align="aligncenter" width="300"] E-mail ontvangen door Máximo Kirchner. Bron: ambito.com[/caption]

Uit een eerste analyse door Morgan Marquis-Boire van Citizen Lab bleek dat de malware die werd gebruikt tegen Kircher, Lanata en Nisman was gekoppeld aan een command and control (C2)-server met de naam deyrep24.ddns.net. Bij nadere inspectie bleek hetzelfde deyrep24.ddns.net C2-domein te worden gebruikt door drie andere malwarevoorbeelden. Een van de monsters was een kwaadaardig document met de naam '' 3 MAR PROYECTO GRIPEN.docx.jar '' en zou communicatie bevatten tussen de ambassadeur van Ecuador in Zweden en de Ecuadoraanse president Rafael Correa over de kwestie van de aankoop van straaljagers.

Onderzoekers van Citizen Lab deden verder onderzoek nadat ze in 2015 talloze meldingen hadden ontvangen van phishing-aanvallen op journalisten en publieke figuren in Ecuador. Veel van de kwaadaardige e-mails en sms'jes die ze onderzochten, hadden geen politiek thema, maar waren slechts het verzamelen van gegevens voor verschillende e-mailproviders en sociale media. media. Nader onderzoek wees uit dat de campagne in Ecuador expliciet politieke inhoud bevatte, met betrekking tot een breed scala aan politieke kwesties en figuren in het land, evenals het creëren van veel nepprofielen en organisaties.

De onderzoekers ontdekten een enorm web van onderlinge verbindingen tussen malware en phishing-sites, gebruikt in de uitgebreide Ecuadoraanse campagne. De malware die ze verspreidden, bestond voornamelijk uit Java RAT's, zoals AlienSpy en Adzok. Veel van de websites deelden registratie-informatie, terwijl de malware-samples doorgaans communiceerden met daynew.sytes.net, een domein dat ook is gekoppeld aan de Argentijnse zaken. Het onderzoek bracht ook nepsites in Venezuela en infrastructuur in Brazilië aan het licht.

[bijschrift id="attachment_501254" align="aligncenter" width="300"] Packrat's C2-infrastructuur. Bron: citizenlab.ca[/caption]

De hackgroep Packrat heeft een goed ontwikkelde infrastructuur die al enkele jaren relatief veilig is. De grootschalige, dure en goed opgepoetste campagnes van de Packrat-hackgroep wijzen op een door de staat gesponsorde actor die goed wordt gefinancierd en onderhouden.

Packrat schermafbeeldingen