Packrat

Ang Packrat hacking group ay isang Advanced Persistent Threat (APT) na nagsagawa ng ilang malalayong operasyon na nakakonsentra sa South America – Argentina, Brazil at Ecuador. Ang aktibidad ng grupong Packrat ay umabot sa pinakamataas nito noong 2015. Ang aktor ng pagbabanta ng Packrat ay may posibilidad na magsagawa ng mga operasyon ng phishing at pagnanakaw ng data, kasabay ng mga kampanyang reconnaissance. Pinili ng mga mananaliksik sa cybersecurity ang pangalang ito para sa grupong ito sa pag-hack dahil ang kanilang ginustong tool ay RATs (Remote Access Trojans). Karamihan sa mga RAT na ginagamit ng grupong Packrat ay lumilitaw na madalas na tinutukoy bilang malware-bilang-isang-kalakal. Nangangahulugan ito na ang mga tool sa pag-hack na ginagamit ng grupong Packrat ay kadalasang binibili o nirerentahan. Ang aktor ng Packrat ay mukhang dalubhasa sa social engineering kaysa sa pagbuo ng malware mula sa simula.

Ang Packrat hacking group ay malamang na napaka karanasan sa larangan ng cybercrime. Ang kanilang mga kampanya ay kumplikado at mahusay na naisakatuparan. Ang banta ng aktor na ito ay kilala na lumikha ng mga pekeng pagkakakilanlan at buong mapanlinlang na mga kumpanya at organisasyon upang gawin ang kanilang mga social engineering trick bilang pinakintab hangga't maaari. Naniniwala ang ilang eksperto sa malware na ang grupong Packrat ay maaaring isponsor ng gobyerno. Ito ay dahil sa ang katunayan na ang mga target ng aktor ng pagbabanta ng Packrat ay madalas na mataas ang ranggo na mga pulitiko, mga investigative journalist, mga organisasyon ng media at iba pang malalaking kumpanya ng interes. Higit pa rito, lumilitaw na ang mga kampanyang isinagawa ng pangkat ng pag-hack ng Packrat ay medyo magastos upang mapanatili - malamang sa daan-daang libong dolyar.

Ang grupong Packrat ay magpapalaganap ng kanilang mga banta sa pamamagitan ng mga pagpapatakbo ng phishing. Ang mga kampanyang ito ay kasangkot sa naunang nabanggit na mga pekeng organisasyon at pagkakakilanlan na itinakda ng mga umaatake. Ang ilan sa mga target ng grupong Packrat ay phishing din sa pamamagitan ng mga text message. Kabilang sa mga pinaka-karaniwang ginagamit na mga banta sa pamamagitan ng packrat pagbabanta aktor ay Alien Spy , Adzok, Cybergate at ang Xtreme RAT . Ang mga kampanyang phishing ng pangkat ng pag-hack ng Packrat ay magta-target ng mga kredensyal sa pag-log in para sa mga sikat na website at serbisyo tulad ng Facebook, Twitter, Google, at iba't ibang kagamitan sa instant messaging. Upang maperpekto ang kanilang mga taktika sa social engineering, ang aktor ng pagbabanta ng Packrat ay gagawa din ng mga huwad na Web page na ang tanging layunin ay disinformation na pumapasok sa kanilang mga detalyadong kahinaan.

Timeline ng mga Pangyayari

2008-2013

Ang mga tool at imprastraktura ng command at control na ginagamit ng grupong Packrat ay nagmumungkahi na sila ay aktibong nagpapatakbo noon pang 2008. Sa unang limang taon ng operasyon ng grupo, ang mga banta ng aktor ay gumamit ng mga serbisyo sa pagho-host na matatagpuan sa Brazil, na ang ilan sa kanilang mga sample ng malware ay na-upload sa mga online na serbisyo sa pag-scan ng virus mula sa Brazilian IP's. Marami sa mga sample na mensahe na ginamit ng grupong Packrat para painin ang mga biktima sa panahong iyon ay puno ng nilalamang social engineering ng Brazil, na nagmumungkahi na ang mga hacker ay eksklusibong na-target ang pinakamalaking bansa sa South America.

2014-2015

Pagkatapos ng medyo walang pangyayari, pumasok si Packrat sa malalim na tubig nang i-target nito ang kilalang Argentinian na mamamahayag at TV news host na sina Jorge Lanata at Alberto Nisman , isang high-profile na abogado ng Argentina at federal prosecutor. Si Nisman diumano ay may nagpapatunay na ebidensya laban sa matataas na opisyal ng gobyerno ng Argentina, kabilang ang kasalukuyang Pangulo ng Argentine na si Cristina Elisabet Fernández de Kirchner .

Ang pagtuklas ng malware na ginamit ng grupong Packrat ay ginawa nang matagpuang patay si Nisman dahil sa tama ng bala sa kanyang apartment sa Buenos Aires noong Enero 18, 2015. Sinuri ng forensic lab sa Buenos Aires Metropolitan Police ang Android phone ni Nisman at nakakita ng malisyosong file pinangalanang '' estrictamente secreto y confidencial.pdf.jar '', na isinasalin sa '' mahigpit na lihim at kumpidensyal '' sa Ingles.

Ang isang kaparehong file ay na-upload kalaunan sa isang online na database ng virus mula sa Argentina, na nagpapakitang ito ay AlienSpy, isang malware-as-a-service remote access toolkit na nagbibigay sa mga banta ng aktor ng kakayahang i-record ang mga aktibidad ng kanilang biktima, i-access ang kanilang webcam, email, at higit pa. Ang file ay ginawa para sa Windows, ibig sabihin ay maaaring hindi nagtagumpay ang mga umaatake sa kanilang mga pagtatangka na i-hack si Nisman, na nagbukas nito sa kanyang Android phone.

Matapos maisapubliko ang paghahanap ng malware, ang iba ay lumapit, na nagsasabing sila ay na-target din. Si Máximo Kirchner, ang anak ng kasalukuyang Pangulo ng Argentina na si Cristina Elisabet Fernández de Kirchner at dating Pangulo ng Argentinian na si Néstor Kirchner , ay nagsabing siya ay na-target ng parehong malware, na nagbibigay ng mga screenshot ng isang email na natanggap niya mula sa isang taong nagpapanggap bilang hukom ng Argentina na si Claudio Bonadio na may address claudiobonadio88@gmail.com .

Natanggap ang email ni Máximo Kirchner. Pinagmulan: ambito.com

Isang paunang pagsusuri ni Morgan Marquis-Boire ng Citizen Lab ang nagsiwalat na ang malware na ginamit laban sa Kircher, Lanata, at Nisman ay naka-link sa isang command and control (C2) server na pinangalanang deyrep24.ddns.net. Ang parehong deyrep24.ddns.net C2 domain ay natagpuang ginagamit ng tatlong iba pang sample ng malware sa karagdagang inspeksyon. Isa sa mga sample ay isang malisyosong dokumento na pinangalanang '' 3 MAR PROYECTO GRIPEN.docx.jar '' at diumano'y naglalaman ng komunikasyon sa pagitan ng Ecuador's Ambassador to Sweden at Ecuadorian President Rafael Correa sa usapin ng fighter jet acquisition.

Nagsagawa ng karagdagang pagsasaliksik ang mga mananaliksik mula sa Citizen Lab matapos makatanggap ng maraming ulat ng mga pag-atake ng phishing laban sa mga mamamahayag at pampublikong tao sa Ecuador noong 2015. Marami sa mga malisyosong email at SMS na kanilang sinuri ay hindi may temang pampulitika ngunit mga taga-ani lamang ng kredensyal para sa iba't ibang email provider at social. media. Ang karagdagang pananaliksik ay nagsiwalat na ang kampanya sa Ecuador ay kasama ang tahasang pampulitikang nilalaman, hinggil sa isang malawak na pagkakaiba-iba ng mga isyu sa pulitika at mga numero sa bansa, pati na rin ang paglikha ng maraming mga pekeng profile at organisasyon.

Natuklasan ng mga mananaliksik ang isang malawak na web ng interconnection sa pagitan ng malware at phishing site, na ginamit sa malawak na kampanya sa Ecuadorian. Ang malware na kanilang ipinamahagi ay karamihan sa mga Java RAT, tulad ng AlienSpy at Adzok. Marami sa mga website ang nagbahagi ng impormasyon sa pagpaparehistro, habang ang mga sample ng malware ay karaniwang nakikipag-ugnayan sa daynews.sytes.net, isang domain na naka-link din sa mga kaso ng Argentina. Ang pagsisiyasat ay nagsiwalat din ng mga pekeng site sa Venezuela at imprastraktura sa Brazil.

Ang imprastraktura ng C2 ng Packrat. Pinagmulan: citizenlab.ca

Ang pangkat ng pag-hack ng Packrat ay may isang mahusay na binuo na imprastraktura na nanatiling medyo ligtas sa loob ng ilang taon. Ang malakihan, magastos, at mahusay na mga kampanyang isinagawa ng Packrat hacking group ay tumutukoy sa isang aktor na inisponsor ng estado na mahusay na pinondohan at pinananatili.

Packrat Mga screenshot