Воришка

Хакерская группа Packrat представляет собой Advanced Persistent Threat (APT), которая провела несколько масштабных операций, сосредоточенных в Южной Америке — Аргентине, Бразилии и Эквадоре. Активность группы Packrat достигла своего пика еще в 2015 году. Злоумышленник Packrat, как правило, занимается фишингом и кражей данных, а также разведывательными кампаниями. Исследователи кибербезопасности выбрали это название для этой хакерской группы, поскольку их предпочтительным инструментом являются RAT (трояны удаленного доступа). Большинство RAT, используемых группой Packrat, представляют собой то, что часто называют вредоносным ПО как товаром. Это означает, что хакерские инструменты, используемые группой Packrat, в основном покупаются или арендуются. Актер Packrat, похоже, специализируется на социальной инженерии, а не на создании вредоносных программ с нуля.

Хакерская группа Packrat, вероятно, имеет большой опыт в области киберпреступности. Их кампании сложны и хорошо выполнены. Известно, что этот злоумышленник создает поддельные личности и целые мошеннические компании и организации, чтобы сделать свои трюки социальной инженерии как можно более совершенными. Некоторые эксперты по вредоносному ПО считают, что группа Packrat может спонсироваться государством. Это связано с тем, что целями злоумышленника Packrat часто являются высокопоставленные политики, журналисты-расследователи, медиа-организации и другие крупные компании, представляющие интерес. Кроме того, оказывается, что кампании, проводимые хакерской группой Packrat, довольно дороги в обслуживании — вероятно, в сотни тысяч долларов.

Группа Packrat распространяла свои угрозы с помощью фишинговых операций. В этих кампаниях будут задействованы ранее упомянутые поддельные организации и личности, созданные злоумышленниками. Некоторые из целей группы Packrat также могли бы фишинговать с помощью текстовых сообщений. Среди наиболее часто используемых угроз со стороны злодея Пакрата — Alien Spy , Adzok, Cybergate и Xtreme RAT . Фишинговые кампании хакерской группы Packrat нацелены на учетные данные для входа в популярные веб-сайты и службы, такие как Facebook, Twitter, Google и различные утилиты для обмена мгновенными сообщениями. Чтобы усовершенствовать свою тактику социальной инженерии, злоумышленник Packrat также будет создавать поддельные веб-страницы, единственной целью которых является дезинформация, которая подпитывает их тщательно разработанные мошенники.

Хронология событий

2008-2013 гг.

Инструменты и инфраструктура управления, которые использует группа Packrat, позволяют предположить, что они активно действовали еще в 2008 году. В течение первых пяти лет деятельности группы злоумышленники использовали хостинговые сервисы, расположенные в загружены в онлайн-сервисы сканирования на вирусы с бразильских IP-адресов. Многие образцы сообщений, которые группа Пакрата использовала для заманивания жертв в тот период, были заполнены бразильским контентом социальной инженерии, что позволяет предположить, что хакеры нацелились исключительно на крупнейшую южноамериканскую страну.

2014-2015 гг.

После относительно беспрецедентного периода, Пакрат зашел в глубокую воду, когда нацелился на известного аргентинского журналиста и телеведущего Хорхе Ланату и Альберто Нисмана , известного аргентинского юриста и федерального прокурора. Нисман якобы имел компромат на высокопоставленных чиновников аргентинского правительства, в том числе на тогдашнего президента Аргентины Кристину Элизабет Фернандес де Киршнер .

Вредоносное ПО, используемое группой Packrat, было обнаружено 18 января 2015 года, когда Нисман был найден мертвым с огнестрельным ранением в своей квартире в Буэнос-Айресе. называется '' estrictamente secreto y confidencial.pdf.jar '', что на английском языке переводится как '' строго секретно и конфиденциально ''.

Позднее идентичный файл был загружен в онлайн-базу вирусов из Аргентины, и оказалось, что это AlienSpy, набор инструментов для удаленного доступа, представляющий собой вредоносное ПО как услугу, который дает злоумышленникам возможность записывать действия своей жертвы, получать доступ к ее веб-камере, электронной почте и более. Файл был создан для Windows, а это означает, что злоумышленники могли потерпеть неудачу в своих попытках взломать Нисмана, который открыл его на своем телефоне Android.

После того, как обнаружение вредоносного ПО было обнародовано, выступили другие, заявив, что они тоже стали мишенью. Максимо Киршнер, сын тогдашнего президента Аргентины Кристины Элизабет Фернандес де Киршнер и бывшего президента Аргентины Нестора Киршнера , заявил, что он стал жертвой того же вредоносного ПО, предоставив скриншоты электронного письма, которое он получил от кого-то, выдающего себя за аргентинского судью Клаудио Бонадио, с адресом claudiobonadio88@gmail.com .

[идентификатор подписи = "attachment_501190" align = "aligncenter" ширина = "300"] Письмо получено Максимо Киршнером. Источник: ambito.com[/caption]

Первоначальный анализ, проведенный Морганом Маркизом-Буаром из Citizen Lab, показал, что вредоносное ПО, использованное против Кирхера, Ланаты и Нисмана, было связано с сервером управления и контроля (C2) с именем deyrep24.ddns.net. При дальнейшей проверке было обнаружено, что тот же домен deyrep24.ddns.net C2 используется тремя другими образцами вредоносного ПО. Одним из образцов был вредоносный документ под названием « 3 MAR PROYECTO GRIPEN.docx.jar », который предположительно содержал переписку между послом Эквадора в Швеции и президентом Эквадора Рафаэлем Корреа по вопросу приобретения истребителя.

Исследователи из Citizen Lab провели дальнейшее исследование после получения многочисленных сообщений о фишинговых атаках на журналистов и общественных деятелей Эквадора в 2015 году. средства массовой информации. Дальнейшее исследование показало, что кампания в Эквадоре включала явно политический контент, касающийся широкого круга политических вопросов и фигур в стране, а также создание множества поддельных профилей и организаций.

Исследователи обнаружили обширную сеть взаимосвязей между вредоносными программами и фишинговыми сайтами, которая использовалась в обширной эквадорской кампании. Распространяемое ими вредоносное ПО в основном представляло собой Java RAT, такие как AlienSpy и Adzok. Многие веб-сайты делились регистрационной информацией, в то время как образцы вредоносного ПО обычно связывались с доменом daynews.sytes.net, который также связан с делами в Аргентине. Расследование также выявило поддельные сайты в Венесуэле и инфраструктуру в Бразилии.

[идентификатор подписи = "attachment_501254" align = "aligncenter" ширина = "300"] Инфраструктура Packrat C2. Источник: Citizenlab.ca[/caption]

Хакерская группа Packrat имеет хорошо развитую инфраструктуру, которая остается относительно безопасной в течение нескольких лет. Крупномасштабные, дорогостоящие и хорошо отлаженные кампании, проводимые хакерской группой Packrat, указывают на спонсируемого государством деятеля, который хорошо финансируется и поддерживается.

Воришка Скриншотов