Ke3chang
Um dos grupos de hackers mais populares, que se acredita ser originário da China, é o Ke3chang APT (Ameaça Persistente Avançada). Eles também são conhecidos como APT15. Com o tempo, os pesquisadores de malware acompanharam de perto a atividade do grupo de hackers Ke3chang e fizeram algumas descobertas interessantes. Parece que as campanhas do APT15 apresentam algumas semelhanças significativas com as de outros grupos de hackers chineses, como táticas semelhantes, infraestrutura quase idêntica e cargas úteis correspondentes. Entre esses grupos de hackers chineses estão o Playful Dragon, GREF, RoyalAPT, Vixen Panda e Mirage. Geralmente, essas semelhanças próximas significam uma de duas coisas (ou ambas): certos hackers proeminentes são membros de mais de um grupo e/ou os grupos de hackers compartilham informações e técnicas, que são mutuamente benéficas.
Índice
O Arsenal de Ferramentas de Hackers do Ke3chang
O grupo de hackers Ke3chang tende a atacar indústrias ou indivíduos de alta importância. Eles são conhecidos por terem executado ataques contra as indústrias militar e petrolífera, bem como diplomatas, políticos e vários órgãos governamentais. O grupo de hackers Ke3chang desenvolve suas próprias ferramentas de hackers e realiza suas operações usando-as quase que exclusivamente. Algumas das ferramentas do vasto arsenal do grupo Ke3chang são o TidePool, Ketrican, RoyalDNS, BS2005, Okrum e outras. No entanto, especialistas em segurança cibernética descobriram uma campanha na qual o grupo de hackers Ke3chang utilizou uma ferramenta de hacking disponível ao público chamada Mimikatz, usada para coletar informações do host comprometido.
Como o Grupo Ke3chang Normalmente Realiza os Seus Ataques
Em 2010, o Ke3chang APT entrou no mapa com sua infame campanha contra políticos de alto escalão na Europa. Eles também são conhecidos por terem lançado campanhas na América do Sul visando indivíduos semelhantes. Normalmente, o grupo de hackers Ke3chang se infiltra em um host e coleta informações sobre o sistema, como dados de software e hardware. Isso ajuda os atacantes a decidir qual seria a maneira mais eficiente de continuar a operação. Outros dados também são filtrados, como logs de bate-papo, senhas, documentos, etc. Em seguida, os invasores podem optar por utilizar seus privilégios na máquina comprometida e tentar se infiltrar em outros sistemas potencialmente vulneráveis conectados à mesma rede.
O Malware Okrum
A jóia do Ke3chang Group é o malware Okrum. Essa ameaça é complexa e impressionante, particularmente. O grupo de hackers também usa um método de propagação bastante complicado - a esteganografia. Essa técnica envolve a injeção do script comprometido da ameaça em um arquivo PNG especificamente adaptado.
Geralmente, o grupo de hackers Ke3chang garante persistência no sistema infectado. Isso os ajuda a manter a ameaça plantada ativa por períodos mais longos.
