CHEESETRAY
APT38 (Advanced Persistent Threat) är i nyheterna igen. Denna hackgrupp verkar från Nordkorea och är också känd under alias Lazarus. Deras kriminella verksamhet har gått så mycket ombord att en del av deras medlemmar efterfrågas av Förenta staternas federala utredningsbyrå för närvarande. APT38-gruppens huvudmotivation verkar vara monetär vinst eftersom de tenderar att rikta in sig på stora finansinstitut och banker över hela världen. Denna hackinggrupp tros vara sponsrad av den nordkoreanska regeringen direkt, så det är troligt att de gör Kim Jong-uns bud.
Innehållsförteckning
Låter angriparna att samla in data över långt tyst
APT38-hacking-gruppen brukar ta sin tid när man utför en operation. De infiltrerar ofta sitt mål och spenderar så länge de kan under sin radar, allt medan de samlar in data om offerets system. Detta hjälper angriparna att besluta om exakt hur de ska genomföra kampanjen så att de kan uppnå maximala resultat. CHEESETRAY-verktyget är en bakdörr-trojan, som är en del av APT38-gruppens arsenal och gör att dess operatörer har tillgång till det komprometterade systemet på lång sikt. En intressant egenskap hos CHEESETRAY skadlig programvara är att den har skapats för att ha möjlighet att arbeta antingen i aktivt läge eller passivt läge. Oavsett om det körs i aktivt eller passivt läge bestäms av systemet att hotet har infiltrerat.
Aktivt läge och passivt läge
En aktiv bakdörr skulle upprätta en anslutning till angriparnas C&C (Command & Control) -server och börja skicka och ta emot data omedelbart. Men den negativa sidan av detta tillvägagångssätt är att detta är ganska bullrigt, och en legitim anti-malware-applikation kommer sannolikt att upptäcka den osäkra aktiviteten mycket snabbt. En passiv bakdörr har en mycket tystare inställning. Detta läge skulle göra det möjligt för CHEESETRAY-bakdörren att vara vilande och förmodligen undvika upptäckt. Hotet kommer att förbli inaktivt tills det tar emot det som kallas ett "magi-paket", som levereras till en viss nätverksport. Genom att använda denna metod ser APT38-gruppen till att det finns minimala spår kvar från dess hotande aktivitet.
Förmågor
CHEESETRAY bakdörr Trojan tillåter sina operatörer att:
- Skicka fjärrkontrollkommandon.
- Radera filer som finns på systemet.
- Observera sessioner med fjärrskrivbord.
- Plantera den skadade koden i legitima processer.
- Lista processer som körs på systemet.
- Samla in data om filsystemet, t.ex. filnamn och mappnamn.
- Ladda upp filer på det infekterade systemet.
- Ladda ner filer från en vald URL.
Aktiviteten hos hackinggruppen APT38 kommer sannolikt inte att upphöra snart, så vi kommer att fortsätta att se dem göra rubriker inom överskådlig framtid.
