BlackTech

BlackTech je názov pre skupinu hackerov s názvom Advanced Persistent Threat (APT). S rovnakou skupinou sa možno stretnúť aj pod názvom Palmerworm. Experti Infosec si prvýkrát všimli aktivity tohto konkrétneho hackerského kolektívu už v roku 2013. Odvtedy BlackTech uskutočnil niekoľko výhražných útočných kampaní proti cieľom vo východnej Ázii. Dlhé pozorovacie obdobie umožnilo bezpečnostným výskumníkom vytvoriť pomerne podrobný obraz o vzorcoch útokov BlackTech, preferovaných malvérových nástrojoch a najčastejšie používaných postupoch. Vo svojom jadre sa operácie BlackTech sústreďujú na špionáž, dolovanie podnikových dát a exfiltráciu informácií. BlackTech je s najväčšou pravdepodobnosťou podporovaný štátom, pričom taiwanskí...

Uverejnené na January 24, 2022 v Advanced Persistent Threat (APT)

Búrlivé mačiatko APT

Rampant Kitten APT je skupina hrozieb škodlivého softvéru, ktorá je známa najmä tým, že sa zameriava najmä na iránske systémy prostredníctvom sledovacej kampane. Zatiaľ čo ciele Rampant Kitten APT sú zamerané na systémy v Iráne, šírenie malvéru Rampant Kitten APT je rozsiahle, pretože by v podstate mohol infikovať počítače v iných oblastiach sveta s využitím špecializovaného arzenálu malvéru pre Android a iných neznámych nástrojov. Skupina Rampant Kitten APT alebo skupina Advanced Persistent Threat bola objavená prostredníctvom kampane, ktorá šírila dokument MS Word využívajúci techniky spear phishingu. Akcie škodlivého softvéru Rampant Kitten APT môžu ohroziť systémy alebo vzdialené servery, kde môžu byť inštruované, aby sa vydávali za...

Uverejnené na January 24, 2022 v Advanced Persistent Threat (APT)

Kriminálna skupina TeamTNT

TeamTNT je názov pre skupinu zaoberajúcu sa počítačovou kriminalitou, ktorá sa špecializuje na operácie ťažby kryptomien. Hoci ich spočiatku nebolo možné odlíšiť od ostatných skupín hackerov vykonávajúcich tieto typy útokov, zdá sa, že TeamTNT rozvíja svoje operácie a teraz sa uvádza, že je schopný zbierať poverenia Amazon Web Services (AWS) od infikované servery. Keď TeamTNT prvýkrát upútal pozornosť výskumníkov v oblasti kybernetickej bezpečnosti, zameral sa predovšetkým na systémy Docker, ktoré boli nesprávne nakonfigurované a mali API na úrovni správy bez ochrany heslom, ktoré bolo otvorené pre internet. Keď sa hackeri dostanú do siete, nasadia servery, ktoré budú vykonávať operácie DDoS a kryptomeny. Zločinecká skupina TeamTNT sa...

Uverejnené na January 24, 2022 v Advanced Persistent Threat (APT)

Svätá voda APT

Holy Water APT je názov pre skupinu kyberzločincov, ktorí vykonali sériu útokov typu vodná diera proti ázijskej náboženskej a etnickej skupine. TTP (taktiky, techniky a postupy) tohto konkrétneho útoku nemožno pripísať žiadnemu z už známych aktérov ATP (pokročilá perzistentná hrozba), čo viedlo výskumníkov k záveru, že ide o novú skupinu kyberzločincov, ktorá vykazuje znaky malý a flexibilný tím hackerov. Na vykonanie útoku na vodnú dieru sa zločinci zamerajú na niekoľko webových stránok, ktoré určené ciele často navštevujú. Stránky môžu patriť organizáciám, charitatívnym organizáciám alebo vplyvným jednotlivcom, ktorí patria do cieľovej skupiny. Všetky webové stránky napadnuté Holy Water boli hosťované na rovnakom serveri a okrem iného...

Uverejnené na January 24, 2022 v Advanced Persistent Threat (APT)

APT29

APT29 ( Advanced Persistent Threat ) je hackerská skupina pochádzajúca z Ruska. Táto hackerská skupina vystupuje aj pod prezývkami Cozy Bear, Cozy Duke, The Dukes a Office Monkeys. Cybergang sleduje svoj pôvod v malvéri MiniDuke z roku 2008 a neustále vylepšuje a aktualizuje svoj hackerský arzenál, ako aj stratégie a infraštruktúru útokov. APT29 často sleduje ciele s vysokou hodnotou po celom svete. Najnovšie úsilie APT29 sa zameralo na krádež údajov o očkovaní proti COVID-19 z lekárskych inštitúcií na celom svete. Niektorí výskumníci v oblasti kybernetickej bezpečnosti silne podozrievajú APT29, že má úzke vzťahy s ruskými spravodajskými službami a najmä s Ruskou Federálnou bezpečnostnou službou (FSB). Tento týždeň v Malvérovej epizóde...

Uverejnené na January 24, 2022 v Advanced Persistent Threat (APT)

Promethium APT

Hackerská skupina Promethium je APT (Advanced Persistent Threat), ktorá je najznámejšia vďaka súprave spywarových nástrojov s názvom StrongPity. Niektorí analytici škodlivého softvéru dokonca označujú skupinu Promethium ako StrongPity APT. Zdá sa, že hackerská skupina Promethium sa zameriava najmä na vysokých politikov, vojenských predstaviteľov a politické organizácie. Väčšina kampaní Promethium APT sa sústreďuje v Sýrii a Turecku, ale je tiež známe, že viedli kampane proti cieľom umiestneným v Taliansku a Belgicku. Hackerská skupina Promethium je na radare výskumníkov škodlivého softvéru od roku 2012 a v priebehu rokov zaviedli do svojich projektov množstvo aktualizácií. Podľa analytikov Promethium APT nedávno zriadilo viac ako 30...

Uverejnené na January 24, 2022 v Advanced Persistent Threat (APT)

Higaisa APT

Higaisa APT (Advanced Persistent Threat) je hackerská skupina, ktorá pravdepodobne pochádza z Kórejského polostrova. Hackerská skupina Higaisa bola prvýkrát rozsiahlo skúmaná v roku 2019. Analytici malvéru sa však domnievajú, že Higaisa APT prvýkrát začal fungovať v roku 2016, no podarilo sa mu vyhnúť sa priťahovaniu pozornosti odborníkov v oblasti kybernetickej bezpečnosti až do roku 2019. Zdá sa, že Higaisa APT využíva oboje. hackerské nástroje vyrobené na mieru, ako aj populárne verejne dostupné hrozby ako PlugX RAT (Remote Access Trojan) a Gh0st RAT . Hackerská skupina Higaisa má tendenciu spoliehať sa hlavne na spear-phishing e-mailové kampane na distribúciu malvéru. Podľa bezpečnostných výskumníkov boli v jednej z najnovších...

Uverejnené na January 24, 2022 v Advanced Persistent Threat (APT)

Cycldek

Cycldek APT (Advanced Persistent Threat) bol prvýkrát spozorovaný analytikmi malvéru v roku 2018. Po preštudovaní kampaní vykonaných skupinou Cycldek sa však ukázalo, že APT je pravdepodobne aktívny od roku 2014. Väčšina kampaní Cycldek skupiny sa vykonávajú v juhovýchodnej Ázii. Hackerská skupina má tendenciu prenasledovať vysokopostavených politikov a dôležité vládne orgány. Hackerská skupina Cycldek má k dispozícii širokú škálu hackerských nástrojov. Tento APT používa vo svojich kampaniach hackerské nástroje aj legitímny softvér. Posledná uvedená technika sa označuje ako nástroje žijúce mimo územia. V jednej zo svojich najnovších operácií odhalila skupina Cycldek veľmi pôsobivý kus malvéru s názvom USBCulprit . Tento špičkový...

Uverejnené na January 24, 2022 v Advanced Persistent Threat (APT)

Modrý malvér Mockingbird

The Blue Mockingbird Malware je organizácia riadená hackermi, ktorých konečným cieľom je vytvoriť a prevádzkovať botnet, ktorý by ťažil kryptomenu. Táto hackerská skupina sa prvýkrát objavila v decembri 2019. Servery, na ktoré sa útočníci zameriavajú, sú veľmi špecifické – jedinou spoločnou črtou, ktorú majú obete medzi sebou, je, že takmer vždy prevádzkujú rámec používateľského rozhrania Telerik spolu s variabilnými nástrojmi ASP.NET. Útočníci tak môžu zneužiť zraniteľnosť známu ako CVE-2019-18935. Táto zraniteľnosť by umožnila škodlivému softvéru Blue Mockingbird umiestniť shell na cieľový systém a prevziať nad ním kontrolu. Zvyčajne sa útoky ako tento zameriavajú na zhromažďovanie citlivých súborov, dôverných údajov, osobných údajov...

Uverejnené na January 24, 2022 v Advanced Persistent Threat (APT)

Packrat

Snímka obrazovky Packrat

Hackerská skupina Packrat je pokročilá perzistentná hrozba (APT), ktorá vykonala niekoľko ďalekosiahlych operácií sústredených v Južnej Amerike – Argentíne, Brazílii a Ekvádore. Činnosť skupiny Packrat dosiahla svoj vrchol v roku 2015. Hrozba Packrat má tendenciu vykonávať operácie phishingu a krádeže údajov popri prieskumných kampaniach. Výskumníci v oblasti kybernetickej bezpečnosti zvolili tento názov pre túto hackerskú skupinu, pretože ich preferovaným nástrojom sú RAT (Trójske kone s vzdialeným prístupom). Zdá sa, že väčšina RAT používaných skupinou Packrat je to, čo sa často označuje ako malvér ako komodita. To znamená, že hackerské nástroje používané skupinou Packrat sú väčšinou...

Uverejnené na January 24, 2022 v Advanced Persistent Threat (APT)

RATicate

Experti na malvér si všimli novú hackerskú skupinu, ktorá sa podľa všetkého špecializuje na RAT (Trójske kone s vzdialeným prístupom). Kvôli tomu dostala skupina pre počítačovú kriminalitu názov RATicate. Hackerská skupina RATicate však využíva aj iné hrozby, ako sú zadné vrátka a infostealeri. Skupina RATicate sa prvýkrát objavila v roku 2019 a odvtedy vykonala množstvo významných útokov. Skupina RATicate sa pri všetkých svojich útokoch spolieha na jedinú infraštruktúru bez ohľadu na nasadené hackerské nástroje. To umožnilo analytikom malvéru zistiť, že od novembra 2019 do januára 2020 hackerská skupina RATicate vykonala päť rozsiahlych operácií RAT. Väčšina kampaní skupiny RATicate sa sústreďuje v Južnej Kórei, Európe a na Strednom...

Uverejnené na January 24, 2022 v Advanced Persistent Threat (APT)

Očarujúce mačiatko APT

Charming Kitten, tiež známy ako APT35 , je pokročilá pretrvávajúca hrozba, hackerská skupina s podozrením na iránske väzby. Skupina je známa aj pod inými názvami: Phosphorus, Ajax Security Team a Newscaster Team. Bolo pozorované, že Charming Kitten má politicky motivované kampane, ale aj kampane motivované finančnými dôvodmi. Zameriavajú sa na aktivistov za ľudské práva, mediálne organizácie a akademický sektor. Väčšina ich kampaní presadzovala útoky na Spojené kráľovstvo, Spojené štáty, Irán a Izrael. Kampane očarujúce mačiatka Jedna z najrozsiahlejších operácií, ktoré podnikla hackerská skupina, bola vykonaná proti HBO v roku 2017. Kyberzločinci unikli približne terabajt údajov s osobnými informáciami o zamestnancoch spoločnosti,...

Uverejnené na January 24, 2022 v Advanced Persistent Threat (APT)

Lazarus APT

Skupina Lazarus, známa aj pod názvami Whois Team alebo Guardians of Peace, je skupina kyberzločincov zložená z neurčitého počtu jednotlivcov. Spočiatku to bola skupina zločincov, ale kvôli ich zamýšľanej povahe, metódam a hrozbe na webe boli klasifikovaní ako pokročilá trvalá hrozba. Komunita kybernetickej bezpečnosti ich má pod inými názvami, ako napríklad Zinc a HIDDEN COBRA . Najskorším prípadom útoku Lazarus APT bola „Operácia Troy“, ktorá sa odohrala v rokoch 2009 až 2012. Kampaň sa zamerala na útok distribuovaného odmietnutia služby (DDoS), ktorý zasiahol juhokórejskú vládu v Soule. Boli zodpovední za útoky v rokoch 2011 a 2013, možno aj útok proti Južnej Kórei v roku 2007. Bolo zaznamenané, že sa podieľali na útoku na Sony...

Uverejnené na January 24, 2022 v Advanced Persistent Threat (APT)

Patchwork APT

Skupina hackingov Patchwork je APT (Advanced Persistent Threat), ktorá sa prvýkrát dostala na radary malvérových analytikov už v roku 2015. Väčšina kampaní Patchwork APT sa sústreďuje v juhovýchodnej Ázii. Hackerská skupina Patchwork však len zriedka pôsobí aj v iných regiónoch sveta. Táto hackerská skupina má mnoho mien – Operation Hangover, Viceroy Tiger, Dropping Elephants, MONSOON, Neon a Chinastrats. Väčšina operácií Patchwork APT sú prieskumné kampane proti vysoko postaveným cieľom. Skupina hackingov Patchwork zvyčajne získava údaje, ako sú utajované dokumenty, prihlasovacie údaje, osobná aktivita atď. Výskumníci škodlivého softvéru špekulujú, že Patchwork APT pravdepodobne pochádza z Indie, pretože sa zdá, že zastávajú proindické...

Uverejnené na January 24, 2022 v Advanced Persistent Threat (APT)

Lotus Blossom APT

Lotus Bloom APT (Advanced Persistent Threat) je hackerská skupina pochádzajúca z Číny. Tento APT je známy aj pod prezývkou DRAGONFISH. Experti na malvér prvýkrát zaznamenali hackerskú skupinu Lotus Bloom už v roku 2015. V tejto počiatočnej kampani Lotus Bloom APT nasadil proti svojim cieľom hackerský nástroj známy ako Elise Malware. Lotus Bloom APT má tendenciu ísť po vládnych inštitúciách alebo dodávateľoch obrany. Lotus Bloom APT bol aktívny najmä v posledných troch rokoch – o tejto hackerskej skupine je známe, že v tomto časovom rámci spustila viac ako 50 samostatných útokov. Lotus Bloom APT sa zameral na organizácie nachádzajúce sa na Filipínach, Taiwane, Hong Kongu atď. Najbežnejšie využívanou metódou propagácie Lotus Bloom APT sú...

Uverejnené na January 24, 2022 v Advanced Persistent Threat (APT)