Ke3chang
Одна из самых популярных хакерских групп, которые, как считается, происходят из Китая, - это Ke3chang APT (Advanced Persistent Threat). Они также известны как APT15. Со временем исследователи вредоносных программ пристально наблюдали за деятельностью хакерской группы Ke3chang и сделали несколько интересных открытий. Похоже, что кампании APT15 имеют некоторые существенные сходства с кампаниями других китайских хакерских групп, например, подобная тактика, почти идентичная инфраструктура и соответствующие полезные нагрузки. Среди этих китайских хакерских групп - Playful Dragon, GREF, RoyalAPT, Vixen Panda и Mirage. Обычно такое близкое сходство означает одно из двух (или обоих) - некоторые известные хакеры являются членами более чем одной группы или / и хакерские группы обмениваются информацией и методами, которые являются взаимовыгодными.
Оглавление
Арсенал хакерских инструментов Ke3chang
Хакерская группа Ke3chang имеет тенденцию атаковать важные отрасли или отдельных лиц. Известно, что они совершали нападения на военных и нефтяную промышленность, а также на дипломатов, политиков и различные государственные органы. Хакерская группа Ke3chang разрабатывает свои собственные хакерские инструменты и выполняет свои операции почти исключительно с их помощью. Некоторые из инструментов в обширном арсенале группы Ke3chang - это TidePool , Ketrican , RoyalDNS , BS2005 , Okrum и другие. Однако эксперты по кибербезопасности заметили кампанию, в которой хакерская группа Ke3chang использовала общедоступный хакерский инструмент под названием Mimikatz , который используется для сбора информации со скомпрометированного хоста.
Как группа Ke3chang обычно проводит свои атаки
Еще в 2010 году APT Ke3chang прославился своей печально известной кампанией против высокопоставленных политиков в Европе. Также известно, что они начали кампании в Южной Америке, нацеленные на похожих людей. Обычно хакерская группа Ke3chang старается проникнуть на хост и собрать информацию о системе, такую как данные о программном и аппаратном обеспечении. Это помогает злоумышленникам решить, какой способ продолжить операцию будет наиболее эффективным. Также извлекаются другие данные, такие как журналы чатов, пароли, документы и т. Д. Затем злоумышленники могут использовать свои привилегии на скомпрометированной машине и попытаться проникнуть в другие потенциально уязвимые системы, подключенные к той же сети.
Вредоносное ПО Okrum
Жемчужиной в короне Ke3chang Group является вредоносная программа Okrum. Эта угроза сложна и особенно впечатляет. Хакерская группа также использует довольно сложный метод распространения - стеганографию. Этот метод включает внедрение скомпрометированного сценария угрозы в специально созданный файл PNG.
Обычно хакерская группа Ke3chang старается добиться стойкости в зараженной системе. Это помогает им поддерживать активность подброшенной угрозы в течение более длительного периода времени.
