CHEESETRAY
APT38 (Advanced Persistent Threat) снова в новостях. Эта хакерская группа работает из Северной Кореи и также известна под псевдонимом Lazarus. Их преступная деятельность оказалась настолько запредельной, что некоторые из их членов в настоящее время разыскиваются Федеральным бюро расследований Соединенных Штатов. Основной мотивацией группы APT38, по-видимому, является денежная выгода, поскольку они, как правило, ориентированы на крупные финансовые учреждения и банки по всему миру. Считается, что эта хакерская группа спонсируется правительством Северной Кореи напрямую, поэтому вполне вероятно, что они выполняют приказы Ким Чен Ына.
Оглавление
Позволяет злоумышленникам долго собирать данные
Хакерская группа APT38 тратит время на выполнение операции. Они часто проникают в свою цель и тратят столько времени, сколько могут, под своим радаром, собирая данные о системе жертвы. Это помогает злоумышленникам решить, как именно проводить кампанию, чтобы они могли достичь максимальных результатов. Инструмент CHEESETRAY - это бэкдор-троян, который является частью арсенала группы APT38 и позволяет его операторам иметь доступ к скомпрометированной системе в долгосрочной перспективе. Интересной особенностью вредоносного ПО CHEESETRAY является то, что он настроен на работу в активном или пассивном режиме. Работает ли он в активном или пассивном режиме, определяется системой, в которую проникла угроза.
Активный режим и пассивный режим
Активный бэкдор установит соединение с сервером C & C (Command & Control) злоумышленников и немедленно начнет отправку и получение данных. Однако, негативная сторона этого подхода заключается в том, что он довольно шумный, и законное антивирусное приложение, скорее всего, обнаружит небезопасную активность очень быстро. У пассивного бэкдора гораздо более тихий подход. Этот режим позволит бэкдору CHEESETRAY оставаться в неактивном состоянии и, вероятно, избежать обнаружения. Угроза останется неактивной, пока не получит так называемый «магический пакет», который доставляется на определенный сетевой порт. Используя этот метод, группа APT38 гарантирует, что от его угрожающей активности остались минимальные следы.
возможности
Бэкдор CHEESETRAY позволяет своим операторам:
- Отправка команд удаленной оболочки.
- Удалить файлы, присутствующие в системе.
- Наблюдайте за сеансами удаленного рабочего стола.
- Посадите свой испорченный код на законные процессы.
- Список процессов, запущенных в системе.
- Соберите данные о файловой системе, такие как имена файлов и имена папок.
- Загрузите файлы в зараженную систему.
- Скачать файлы с выбранного URL.
Деятельность хакерской группы APT38, скорее всего, не прекратится в ближайшее время, поэтому мы будем продолжать видеть их в заголовках в обозримом будущем.
