Packrat

Packrat hack grubu, Güney Amerika'da - Arjantin, Brezilya ve Ekvador - yoğunlaşan birkaç geniş kapsamlı operasyon gerçekleştiren bir Gelişmiş Kalıcı Tehdit (APT). Packrat grubunun etkinliği 2015'te zirveye ulaştı. Packrat tehdit aktörü, keşif kampanyalarının yanı sıra kimlik avı ve veri hırsızlığı operasyonları yürütme eğilimindedir. Siber güvenlik araştırmacıları, tercih ettikleri araç RAT'ler (Uzaktan Erişim Truva Atları) olduğundan, bu korsan grubu için bu adı seçti. Packrat grubu tarafından kullanılan RAT'lerin çoğu, genellikle bir mal olarak kötü amaçlı yazılım olarak adlandırılan şey gibi görünmektedir. Bu, Packrat grubu tarafından kullanılan bilgisayar korsanlığı araçlarının çoğunlukla satın alındığı veya kiralandığı anlamına gelir. Packrat oyuncusu, sıfırdan kötü amaçlı yazılım oluşturmak yerine sosyal mühendislikte uzman görünüyor.

Packrat hack grubunun siber suçlar alanında oldukça deneyimli olması muhtemeldir. Kampanyaları karmaşık ve iyi yürütülüyor. Bu tehdit aktörünün, sosyal mühendislik numaralarını olabildiğince cilalı hale getirmek için sahte kimlikler ve tüm sahtekar şirketler ve kuruluşlar yarattığı bilinmektedir. Bazı kötü amaçlı yazılım uzmanları, Packrat grubunun devlet destekli olabileceğine inanıyor. Bunun nedeni Packrat tehdit aktörünün hedeflerinin genellikle üst düzey politikacılar, araştırmacı gazeteciler, medya kuruluşları ve diğer büyük şirketler olmasıdır. Ayrıca, Packrat hack grubu tarafından yürütülen kampanyaların sürdürülmesinin oldukça maliyetli olduğu görülüyor - muhtemelen yüz binlerce dolar.

Packrat grubu, tehditlerini kimlik avı operasyonları yoluyla yayar. Bu kampanyalar, daha önce bahsedilen sahte organizasyonları ve saldırganlar tarafından kurulan kimlikleri içerecektir. Packrat grubunun hedeflerinden bazıları, metin mesajları yoluyla da kimlik avı yapmak olacaktır. Packrat tehdit aktörü tarafından en sık kullanılan tehditler arasında Alien Spy , Adzok, Cybergate ve Xtreme RAT bulunmaktadır . Packrat korsan grubunun kimlik avı kampanyaları, Facebook, Twitter, Google gibi popüler web siteleri ve hizmetler ve çeşitli anlık mesajlaşma araçları için oturum açma kimlik bilgilerini hedefleyecektir. Packrat tehdit aktörü, sosyal mühendislik taktiklerini mükemmelleştirmek için, tek amacı ayrıntılı eksilerini besleyen dezenformasyon olan sahte Web sayfaları da oluşturacaktır.

Etkinliklerin Zaman Çizelgesi

2008-2013

Packrat grubunun kullandığı araçlar ve komuta ve kontrol altyapısı, 2008 kadar erken bir tarihte aktif olarak çalıştıklarını gösteriyor. Grubun operasyonunun ilk beş yılında, tehdit aktörleri Brezilya'da bulunan barındırma hizmetlerini kullandılar ve bazı kötü amaçlı yazılım örnekleri kullanıldı. Brezilya IP'lerinden çevrimiçi virüs tarama hizmetlerine yüklendi. Packrat grubunun o dönemde kurbanları tuzağa düşürmek için kullandığı örnek mesajların çoğu, bilgisayar korsanlarının yalnızca en büyük Güney Amerika ülkesini hedeflediklerini düşündüren Brezilya sosyal mühendislik içeriğiyle doluydu.

2014-2015

Nispeten olaysız bir dönemden sonra Packrat, tanınmış Arjantinli gazeteci ve TV haber sunucusu Jorge Lanata ve yüksek profilli Arjantinli bir avukat ve federal savcı olan Alberto Nisman'ı hedef aldığında derin sulara girdi. Nisman'ın sözde Arjantin hükümetinin üst düzey yetkililerine karşı, o sırada görevdeki Arjantin Devlet Başkanı Cristina Elisabet Fernández de Kirchner de dahil olmak üzere suçlayıcı kanıtları vardı.

Packrat grubu tarafından kullanılan kötü amaçlı yazılımın keşfi, Nisman'ın 18 Ocak 2015'te Buenos Aires'teki dairesinde kurşun yarası sonucu ölü bulunmasıyla yapıldı. Buenos Aires Metropolitan Polisindeki adli tıp laboratuvarı, Nisman'ın Android telefonunu inceledi ve kötü amaçlı bir dosya buldu. İngilizce'de '' kesinlikle gizli ve gizli '' anlamına gelen '' estrictamente secreto y confidencial.pdf.jar '' olarak adlandırılmıştır.

Aynı dosya daha sonra Arjantin'den bir çevrimiçi virüs veritabanına yüklendi ve bunun tehdit aktörlerine kurbanlarının etkinliklerini kaydetme, web kameralarına, e-postalarına erişme ve daha fazla. Dosya Windows için oluşturuldu, yani saldırganlar dosyayı Android telefonunda açan Nisman'ı hackleme girişimlerinde başarısız olmuş olabilir.

Kötü amaçlı yazılım bulgusu kamuya açıklandıktan sonra, diğerleri kendilerinin de hedef alındığını söyleyerek öne çıktı. Arjantin'in o zamanki Cumhurbaşkanı Cristina Elisabet Fernández de Kirchner ve eski Arjantin Devlet Başkanı Néstor Kirchner'in oğlu Máximo Kirchner, Arjantinli yargıç Claudio Bonadio'yu bir adresle taklit eden birinden aldığı bir e-postanın ekran görüntülerini sağlayarak, aynı kötü amaçlı yazılım tarafından hedef alındığını iddia etti. claudiobonadio88@gmail.com .

Máximo Kirchner tarafından alınan e-posta. Kaynak: ambito.com

Citizen Lab'den Morgan Marquis-Boire tarafından yapılan ilk analiz, Kircher, Lanata ve Nisman'a karşı kullanılan kötü amaçlı yazılımın deyrep24.ddns.net adlı bir komut ve kontrol (C2) sunucusuna bağlı olduğunu ortaya çıkardı. Aynı deyrep24.ddns.net C2 etki alanının, daha fazla incelemenin ardından diğer üç kötü amaçlı yazılım örneği tarafından kullanıldığı tespit edildi. Örneklerden biri, " 3 MAR PROYECTO GRIPEN.docx.jar " adlı kötü niyetli bir belgeydi ve sözde Ekvador'un İsveç Büyükelçisi ile Ekvador Devlet Başkanı Rafael Correa arasında savaş uçağı alımı konusundaki iletişimi içeriyordu.

Citizen Lab'den araştırmacılar, 2015 yılında Ekvador'da gazetecilere ve kamuya mal olmuş kişilere yönelik çok sayıda kimlik avı saldırısı raporu aldıktan sonra daha fazla araştırma yaptı. İnceledikleri kötü niyetli e-postaların ve SMS'lerin çoğu siyasi temalı değildi, yalnızca farklı e-posta sağlayıcıları ve sosyal medya için kimlik bilgileri toplayıcılardı. medya. Daha fazla araştırma, Ekvador'daki kampanyanın, ülkedeki çok çeşitli siyasi meseleler ve şahsiyetlerin yanı sıra birçok sahte profil ve örgütün oluşturulmasıyla ilgili açıkça siyasi içerik içerdiğini ortaya koydu.

Araştırmacılar, kapsamlı Ekvador kampanyasında kullanılan kötü amaçlı yazılım ve kimlik avı siteleri arasında geniş bir ara bağlantı ağını ortaya çıkardı. Dağıttıkları kötü amaçlı yazılım çoğunlukla AlienSpy ve Adzok gibi Java RAT'larıydı. Web sitelerinin çoğu kayıt bilgilerini paylaşırken, kötü amaçlı yazılım örnekleri tipik olarak Arjantin vakalarıyla bağlantılı bir alan olan daynews.sytes.net ile iletişim kuruyordu. Soruşturma ayrıca Venezuela'daki sahte siteleri ve Brezilya'daki altyapıyı da ortaya çıkardı.

Packrat'ın C2 altyapısı. Kaynak: Citizenlab.ca

Packrat hack grubu, birkaç yıldır nispeten güvenli kalan iyi gelişmiş bir altyapıya sahiptir. Packrat hack grubu tarafından yürütülen büyük ölçekli, maliyetli ve iyi cilalanmış kampanyalar, iyi finanse edilen ve sürdürülen devlet destekli bir aktöre işaret ediyor.

Packrat Ekran Görüntüsü