APT-C-23

APT-C-23 to nazwa przypisana grupie hakerów Advanced Persistent Threat (APT). Ta sama grupa jest również znana jako skorpion dwuogonowy lub skorpion pustynny. Zaobserwowano, że hakerzy przeprowadzili kilka groźnych kampanii wymierzonych w użytkowników znajdujących się na Bliskim Wschodzie. APT-C-23 w swoich działaniach wykorzystuje zarówno narzędzia Windows, jak i Android.

Działania grupy zostały po raz pierwszy szczegółowo opisane przez naukowców z Qihoo 360 Technology w marcu 2017 roku. W tym samym roku różne zespoły badawcze infosec zaczęły wyłapywać różne trojany wykradające informacje, które zostały przypisane APT-C-23:

  • Firma Palo Alto Networks opisała zagrożenie, które nazwali VAMP
  • Lookout przeanalizował trojana, którego nazwali FrozenCell
  • TrendMicro odkrył GnatSpy zagrożenie

W 2018 roku Lookoutowi udało się wykryć jedno z sygnatur trojanów w arsenale APT-C-23, które nazwali Desert Scorpion. Według doniesień kampania z udziałem Desert Scorpiona wymierzyła w ponad 100 celów z Palestyny. Hakerom udało się przemycić zagrożenie złośliwym oprogramowaniem do oficjalnego Sklepu Google Play, ale polegali na licznych taktach socjotechnicznych, aby zwabić swoje ofiary do pobrania. Przestępcy utworzyli profil na Facebooku dla fałszywej kobiety, który był używany do promowania linków prowadzących do aplikacji do przesyłania wiadomości zawierającej groźby o nazwie Dardesh. Kampania Desert Scorpion obejmowała jedną z charakterystycznych procedur związanych z APT-C-23 - rozdzielenie funkcji zagrażającej atakowi na kilka etapów, ponieważ aplikacja Dardesh działała po prostu jako dropper pierwszego stopnia, który dostarczał rzeczywisty ładunek drugiego etapu.

ATP-23-C wznowili działalność z początkiem 2020 roku, ponieważ byli związani z kampanią ataku na żołnierzy IDF (Israel Defence Force). Hakerzy nie odeszli od swoich standardowych operacji i ponownie wykorzystali komunikatory do dostarczania trojanów kradnących informacje. Zagrażające aplikacje były promowane przez specjalnie spreparowane strony internetowe, które zostały zaprojektowane w celu reklamowania fałszywych funkcji aplikacji i dostarczania bezpośrednich linków do pobierania, z których mogłyby skorzystać ofiary.

Ostatnia operacja przypisywana ATP-23-C polega na wykorzystaniu znacznie ulepszonej wersji ich narzędzia trojańskiego, które zostało nazwane Android / SpyC23.A przez naukowców z ESET. Hakerzy nadal koncentrują się na tym samym regionie, a ich groźne narzędzie udające aplikację WeMessage jest wykrywane na urządzeniach użytkowników znajdujących się w Izraelu. Oprócz zwykłego zestawu funkcji oczekiwanych od nowoczesnego trojana wykradającego informacje, Android / SpyC23.A został wyposażony w kilka nowych, potężnych zdolności. Może inicjować połączenia, ukrywając swoją aktywność za czarnym ekranem wyświetlanym na zaatakowanym urządzeniu. Ponadto trojan może odrzucać różne powiadomienia z różnych aplikacji zabezpieczających Androida, które zależą od konkretnego modelu lub producenta infiltrowanego urządzenia. Unikalną cechą Androida / SpyC23.A jest możliwość odrzucania własnych powiadomień. Według naukowców taka funkcja może być przydatna do ukrywania pewnych alertów o błędach, które mogą pojawić się podczas działań trojana w tle.

ATP-23-C to dość płodna, wyrafinowana grupa hakerów, która wykazuje tendencję do ciągłego rozwoju swoich narzędzi szkodliwego oprogramowania, a także stosowania strategii socjotechnicznych zaprojektowanych z myślą o określonych grupach użytkowników.

Popularne

Najczęściej oglądane

Ładowanie...