Packrat

กลุ่มแฮ็กเกอร์ของ Packrat เป็นภัยคุกคามถาวรขั้นสูง (APT) ที่ดำเนินการอย่างกว้างขวางในอเมริกาใต้ ได้แก่ อาร์เจนตินา บราซิล และเอกวาดอร์ กิจกรรมของกลุ่ม Packrat กลับมาถึงจุดสูงสุดในปี 2015 ผู้คุกคามของ Packrat มีแนวโน้มที่จะดำเนินการฟิชชิงและการขโมยข้อมูล ควบคู่ไปกับแคมเปญการสอดแนม นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้เลือกชื่อนี้สำหรับกลุ่มแฮ็คนี้เนื่องจากเครื่องมือที่ต้องการคือ RAT (โทรจันการเข้าถึงระยะไกล) RAT ส่วนใหญ่ที่ใช้โดยกลุ่ม Packrat ดูเหมือนจะเป็นสิ่งที่มักเรียกกันว่ามัลแวร์ในฐานะสินค้าโภคภัณฑ์ ซึ่งหมายความว่าเครื่องมือแฮ็คที่ใช้โดยกลุ่ม Packrat นั้นส่วนใหญ่ซื้อหรือเช่า นักแสดง Packrat ดูเหมือนจะเชี่ยวชาญด้านวิศวกรรมสังคมมากกว่าการสร้างมัลแวร์ตั้งแต่เริ่มต้น

กลุ่มแฮ็กเกอร์ Packrat มีแนวโน้มที่จะมีประสบการณ์มากในด้านอาชญากรรมทางอินเทอร์เน็ต แคมเปญของพวกเขาซับซ้อนและดำเนินการมาอย่างดี เป็นที่ทราบกันดีว่าผู้คุกคามรายนี้สร้างข้อมูลประจำตัวปลอมและทั้งบริษัทและองค์กรที่หลอกลวง เพื่อทำให้กลวิธีด้านวิศวกรรมสังคมของพวกเขาได้รับการขัดเกลาให้มากที่สุด ผู้เชี่ยวชาญด้านมัลแวร์บางคนเชื่อว่ากลุ่ม Packrat อาจได้รับการสนับสนุนจากรัฐบาล เนื่องจากเป้าหมายของตัวแสดงภัยคุกคามของ Packrat มักเป็นนักการเมืองระดับสูง นักข่าวเชิงสืบสวน องค์กรสื่อ และบริษัทขนาดใหญ่อื่นๆ ที่น่าสนใจ นอกจากนี้ ดูเหมือนว่าแคมเปญที่ดำเนินการโดยกลุ่มแฮ็กเกอร์ของ Packrat นั้นมีค่าใช้จ่ายค่อนข้างสูงในการดูแล ซึ่งน่าจะมีมูลค่าหลายแสนดอลลาร์

กลุ่ม Packrat จะเผยแพร่ภัยคุกคามผ่านการดำเนินการฟิชชิ่ง แคมเปญเหล่านี้จะเกี่ยวข้องกับองค์กรและตัวตนปลอมที่กล่าวถึงก่อนหน้านี้ซึ่งตั้งขึ้นโดยผู้โจมตี เป้าหมายบางส่วนของกลุ่ม Packrat จะเป็นฟิชชิ่งผ่านข้อความด้วย ภัยคุกคามที่ใช้กันมากที่สุดโดยนักแสดงที่คุกคาม Packrat ได้แก่ Alien Spy , Adzok, Cybergate และ Xtreme RAT แคมเปญฟิชชิ่งของกลุ่มแฮ็กเกอร์ Packrat จะกำหนดเป้าหมายข้อมูลรับรองการเข้าสู่ระบบสำหรับเว็บไซต์และบริการยอดนิยม เช่น Facebook, Twitter, Google และยูทิลิตี้การส่งข้อความโต้ตอบแบบทันทีต่างๆ เพื่อทำให้กลยุทธ์ด้านวิศวกรรมสังคมสมบูรณ์แบบ ผู้คุกคามของ Packrat ยังจะสร้างหน้าเว็บปลอมซึ่งมีจุดประสงค์เพียงอย่างเดียวคือบิดเบือนข้อมูลที่ดึงเข้าสู่ข้อเสียที่ซับซ้อนของพวกเขา

เส้นเวลาของเหตุการณ์

2551-2556

เครื่องมือและโครงสร้างพื้นฐานด้านคำสั่งและการควบคุมที่กลุ่ม Packrat ใช้แสดงให้เห็นว่าพวกเขากำลังดำเนินการอย่างแข็งขันตั้งแต่ต้นปี 2008 ในช่วงห้าปีแรกของการดำเนินงานของกลุ่ม ผู้คุกคามใช้บริการโฮสติ้งที่ตั้งอยู่ในบราซิล โดยมีตัวอย่างมัลแวร์บางส่วนเป็น อัปโหลดไปยังบริการสแกนไวรัสออนไลน์จาก IP ของบราซิล ข้อความตัวอย่างจำนวนมากที่กลุ่ม Packrat ใช้เพื่อหลอกล่อเหยื่อในช่วงเวลานั้นเต็มไปด้วยเนื้อหาวิศวกรรมสังคมของบราซิล ซึ่งบ่งชี้ว่าแฮ็กเกอร์ได้กำหนดเป้าหมายไปยังประเทศที่ใหญ่ที่สุดในอเมริกาใต้โดยเฉพาะ

2014-2015

หลังจากช่วงเวลาที่ไม่ราบรื่นนัก Packrat ได้เข้าสู่น่านน้ำลึกโดยมีเป้าหมายที่นักข่าวชาวอาร์เจนตินาที่มีชื่อเสียงและพิธีกรรายการข่าวโทรทัศน์ Jorge Lanata และ Alberto Nisman ทนายความและอัยการระดับสูงชาวอาร์เจนตินา คาดว่า Nisman จะมีหลักฐานที่กล่าวหาเจ้าหน้าที่ระดับสูงของรัฐบาลอาร์เจนตินา รวมถึงประธานาธิบดี Cristina Elisabet Fernández de Kirchner ของอาร์เจนตินาคนปัจจุบันในขณะนั้น

การค้นพบมัลแวร์ที่ใช้โดยกลุ่ม Packrat เกิดขึ้นเมื่อ Nisman ถูกพบว่าเสียชีวิตจากบาดแผลกระสุนปืนในอพาร์ตเมนต์ของเขาในบัวโนสไอเรสเมื่อวันที่ 18 มกราคม 2015 ห้องแล็บนิติวิทยาศาสตร์ที่ Buenos Aires Metropolitan Police ได้ตรวจสอบโทรศัพท์ Android ของ Nisman และพบไฟล์ที่เป็นอันตราย ชื่อ '' estrictamente secreto y Confidencial.pdf.jar '' ซึ่งแปลว่า '' ความลับและเป็นความลับอย่างเคร่งครัด '' ในภาษาอังกฤษ

ไฟล์ที่เหมือนกันถูกอัปโหลดไปยังฐานข้อมูลไวรัสออนไลน์จากอาร์เจนตินาในเวลาต่อมา โดยเปิดเผยว่าเป็น AlienSpy ซึ่งเป็นชุดเครื่องมือการเข้าถึงระยะไกลจากมัลแวร์ในฐานะบริการที่ช่วยให้ผู้คุกคามสามารถบันทึกกิจกรรมของเหยื่อ เข้าถึงเว็บแคม อีเมล และ มากกว่า. ไฟล์นี้สร้างขึ้นสำหรับ Windows ซึ่งหมายความว่าผู้โจมตีอาจไม่ประสบความสำเร็จในการพยายามแฮ็ค Nisman ซึ่งเปิดไฟล์บนโทรศัพท์ Android ของเขา

หลังจากที่การค้นพบมัลแวร์ถูกเปิดเผยต่อสาธารณะ คนอื่นๆ ก็ออกมาบอกว่าพวกเขาตกเป็นเป้าหมายเช่นกัน Máximo Kirchner ลูกชายของประธานาธิบดี Cristina Elisabet Fernández de Kirchner แห่งอาร์เจนตินาคนปัจจุบันในขณะนั้น และอดีตประธานาธิบดี Néstor Kirchner ของ อาร์เจนตินา อ้างว่าเขาตกเป็นเป้าหมายของมัลแวร์ชนิดเดียวกัน โดยให้ภาพหน้าจอของอีเมลที่ได้รับจากบุคคลที่แอบอ้างเป็นผู้พิพากษาชาวอาร์เจนตินา Claudio Bonadio พร้อมที่อยู่ claudiobonadio88@gmail.com

ได้รับอีเมลจาก Máximo Kirchner ที่มา: ambito.com

การวิเคราะห์เบื้องต้นโดย Morgan Marquis-Boire จาก Citizen Lab เปิดเผยว่ามัลแวร์ที่ใช้กับ Kircher, Lanata และ Nisman เชื่อมโยงกับเซิร์ฟเวอร์คำสั่งและการควบคุม (C2) ชื่อ deyrep24.ddns.net พบว่าโดเมน C2 deyrep24.ddns.net C2 เดียวกันถูกใช้โดยตัวอย่างมัลแวร์อื่นๆ อีกสามตัวอย่างเมื่อทำการตรวจสอบเพิ่มเติม ตัวอย่างหนึ่งเป็นเอกสารอันตรายที่ชื่อว่า '' 3 MAR PROYECTO GRIPEN.docx.jar '' และคาดว่าน่าจะมีการสื่อสารระหว่างเอกอัครราชทูตเอกวาดอร์ประจำสวีเดนกับประธานาธิบดีราฟาเอล คอร์เรอาแห่งเอกวาดอร์ในเรื่องการจัดหาเครื่องบินขับไล่

นักวิจัยจาก Citizen Lab ได้ทำการวิจัยเพิ่มเติมหลังจากได้รับรายงานจำนวนมากเกี่ยวกับการโจมตีแบบฟิชชิ่งต่อนักข่าวและบุคคลสาธารณะในเอกวาดอร์ในปี 2015 อีเมลและ SMS ที่เป็นอันตรายจำนวนมากที่พวกเขาตรวจสอบไม่ได้มีเนื้อหาเกี่ยวกับการเมือง แต่เป็นเพียงเครื่องมือรวบรวมข้อมูลสำหรับผู้ให้บริการอีเมลและโซเชียลต่างๆ สื่อ การวิจัยเพิ่มเติมเปิดเผยว่าการรณรงค์ในเอกวาดอร์มีเนื้อหาทางการเมืองอย่างชัดเจน เกี่ยวกับประเด็นทางการเมืองและตัวเลขต่างๆ ในประเทศ ตลอดจนการสร้างโปรไฟล์และองค์กรปลอมจำนวนมาก

นักวิจัยได้ค้นพบเว็บขนาดใหญ่ที่มีการเชื่อมต่อระหว่างมัลแวร์และไซต์ฟิชชิ่ง ซึ่งใช้ในแคมเปญเอกวาดอร์อย่างกว้างขวาง มัลแวร์ที่พวกเขาแจกจ่ายส่วนใหญ่เป็น Java RAT เช่น AlienSpy และ Adzok เว็บไซต์หลายแห่งแชร์ข้อมูลการลงทะเบียน ในขณะที่ตัวอย่างมัลแวร์มักสื่อสารกับ daynews.sytes.net ซึ่งเป็นโดเมนที่เชื่อมโยงกับกรณีของอาร์เจนตินา การสืบสวนยังเปิดเผยไซต์ปลอมในเวเนซุเอลาและโครงสร้างพื้นฐานในบราซิล

โครงสร้างพื้นฐาน C2 ของ Packrat ที่มา: citizenlab.ca

กลุ่มแฮ็กเกอร์ของ Packrat มีโครงสร้างพื้นฐานที่ได้รับการพัฒนามาอย่างดีซึ่งค่อนข้างปลอดภัยมาหลายปี แคมเปญขนาดใหญ่ ราคาแพง และขัดเกลาอย่างดีที่ดำเนินการโดยกลุ่มแฮ็กเกอร์ Packrat ชี้ไปที่นักแสดงที่ได้รับการสนับสนุนจากรัฐซึ่งได้รับทุนสนับสนุนและบำรุงรักษาอย่างดี

Packrat ภาพหน้าจอ