Packrat

Nhóm hack Packrat là Mối đe dọa liên tục nâng cao (APT) đã thực hiện một số hoạt động sâu rộng tập trung ở Nam Mỹ - Argentina, Brazil và Ecuador. Hoạt động của nhóm Packrat đạt đến đỉnh điểm vào năm 2015. Kẻ đe dọa Packrat có xu hướng thực hiện các hoạt động lừa đảo và đánh cắp dữ liệu, cùng với các chiến dịch do thám. Các nhà nghiên cứu an ninh mạng đã chọn tên này cho nhóm hack này vì công cụ ưa thích của họ là RATs (Trojan truy cập từ xa). Hầu hết các RAT được sử dụng bởi nhóm Packrat dường như là thứ thường được gọi là phần mềm độc hại dưới dạng hàng hóa. Điều này có nghĩa là hầu hết các công cụ hack mà nhóm Packrat sử dụng đều được mua hoặc thuê. Diễn viên Packrat dường như chuyên về kỹ thuật xã hội hơn là xây dựng phần mềm độc hại từ đầu.

Nhóm hack Packrat có thể rất có kinh nghiệm trong lĩnh vực tội phạm mạng. Các chiến dịch của họ rất phức tạp và được thực hiện tốt. Kẻ đe dọa này được biết là tạo ra danh tính giả và toàn bộ các công ty và tổ chức lừa đảo để làm cho các thủ đoạn kỹ thuật xã hội của họ trở nên bóng bẩy nhất có thể. Một số chuyên gia phần mềm độc hại tin rằng nhóm Packrat có thể được chính phủ tài trợ. Điều này là do mục tiêu của kẻ đe dọa Packrat thường là các chính trị gia cấp cao, nhà báo điều tra, các tổ chức truyền thông và các công ty lớn khác. Hơn nữa, có vẻ như các chiến dịch do nhóm hack Packrat thực hiện khá tốn kém để duy trì - có thể lên tới hàng trăm nghìn đô la.

Nhóm Packrat sẽ tuyên truyền các mối đe dọa của họ thông qua các hoạt động lừa đảo. Các chiến dịch này sẽ liên quan đến các tổ chức và danh tính giả đã được đề cập trước đây do những kẻ tấn công thiết lập. Một số mục tiêu của nhóm Packrat cũng sẽ là lừa đảo qua tin nhắn văn bản. Trong số các mối đe dọa thường được sử dụng bởi kẻ đe dọa Packrat là Alien Spy , Adzok, Cybergate và Xtreme RAT . Các chiến dịch lừa đảo của nhóm hack Packrat sẽ nhắm mục tiêu thông tin đăng nhập cho các trang web và dịch vụ phổ biến như Facebook, Twitter, Google và các tiện ích nhắn tin tức thì khác nhau. Để hoàn thiện các chiến thuật kỹ thuật xã hội của họ, kẻ đe dọa Packrat cũng sẽ tạo ra các trang web không có thật với mục đích duy nhất là sai lệch thông tin đưa vào khuyết điểm phức tạp của chúng.

Dòng thời gian của sự kiện

2008-2013

Các công cụ và cơ sở hạ tầng chỉ huy và kiểm soát mà nhóm Packrat sử dụng cho thấy rằng họ đã hoạt động tích cực vào đầu năm 2008. Trong năm năm đầu tiên hoạt động của nhóm, các tác nhân đe dọa đã sử dụng các dịch vụ lưu trữ đặt tại Brazil, với một số mẫu phần mềm độc hại của họ là được tải lên các dịch vụ quét vi rút trực tuyến từ IP của Brazil. Nhiều tin nhắn mẫu mà nhóm Packrat sử dụng để mồi chài các nạn nhân trong thời kỳ đó chứa đầy nội dung kỹ nghệ xã hội của Brazil, cho thấy rằng các tin tặc đã nhắm mục tiêu độc quyền vào quốc gia Nam Mỹ lớn nhất này.

2014-2015

Sau một thời gian tương đối bình yên, Packrat tiến vào vùng biển sâu khi nhắm mục tiêu vào nhà báo nổi tiếng người Argentina và người dẫn chương trình tin tức truyền hình Jorge Lanata và Alberto Nisman , một luật sư cấp cao và công tố viên liên bang người Argentina. Nisman được cho là đã có bằng chứng buộc tội các quan chức cấp cao của chính phủ Argentina, bao gồm cả Tổng thống đương nhiệm của Argentina Cristina Elisabet Fernández de Kirchner .

Việc phát hiện ra phần mềm độc hại được nhóm Packrat sử dụng được thực hiện khi Nisman được tìm thấy đã chết vì vết thương do đạn bắn trong căn hộ của anh ta ở Buenos Aires vào ngày 18 tháng 1 năm 2015. Phòng thí nghiệm pháp y tại Cảnh sát Thủ đô Buenos Aires đã kiểm tra điện thoại Android của Nisman và tìm thấy một tệp độc hại được đặt tên là '' estrictamente secretto y confidencial.pdf.jar '', dịch thành '' bí mật và bí mật nghiêm ngặt '' trong tiếng Anh.

Một tệp giống hệt sau đó đã được tải lên cơ sở dữ liệu vi rút trực tuyến từ Argentina, tiết lộ nó là AlienSpy, một bộ công cụ truy cập từ xa phần mềm độc hại như một dịch vụ cung cấp cho các tác nhân đe dọa khả năng ghi lại các hoạt động của nạn nhân, truy cập webcam, email của họ và hơn. Tệp được xây dựng cho Windows, có nghĩa là những kẻ tấn công có thể đã không thành công trong nỗ lực tấn công Nisman, người đã mở nó trên điện thoại Android của anh ta.

Sau khi phát hiện phần mềm độc hại được công khai, những người khác đã đưa ra và nói rằng họ cũng đã bị nhắm mục tiêu. Máximo Kirchner, con trai của đương kim Tổng thống Argentina Cristina Elisabet Fernández de Kirchner và cựu Tổng thống Argentina Néstor Kirchner , tuyên bố ông đã bị nhắm mục tiêu bởi cùng một phần mềm độc hại, cung cấp ảnh chụp màn hình email mà ông nhận được từ một kẻ mạo danh thẩm phán người Argentina Claudio Bonadio với địa chỉ claudiobonadio88@gmail.com .

Email nhận được bởi Máximo Kirchner. Nguồn: ambito.com [/ caption]

Một phân tích ban đầu của Morgan Marquis-Boire của Citizen Lab cho thấy phần mềm độc hại được sử dụng chống lại Kircher, Lanata và Nisman được liên kết với một máy chủ lệnh và điều khiển (C2) có tên deyrep24.ddns.net. Cùng một miền deyrep24.ddns.net C2 đã được ba mẫu phần mềm độc hại khác sử dụng khi kiểm tra thêm. Một trong những mẫu là tài liệu độc hại có tên '' 3 MAR PROYECTO GRIPEN.docx.jar '' và được cho là chứa thông tin liên lạc giữa Đại sứ Ecuador tại Thụy Điển và Tổng thống Ecuador Rafael Correa về vấn đề mua máy bay chiến đấu.

Các nhà nghiên cứu từ Phòng thí nghiệm Citizen đã tiến hành nghiên cứu thêm sau khi nhận được nhiều báo cáo về các cuộc tấn công lừa đảo nhằm vào các nhà báo và nhân vật của công chúng ở Ecuador vào năm 2015. Nhiều email và SMS độc hại mà họ đã kiểm tra không có chủ đề chính trị mà chỉ là công cụ thu thập thông tin cho các nhà cung cấp email và mạng xã hội khác nhau. phương tiện truyền thông. Nghiên cứu sâu hơn cho thấy chiến dịch ở Ecuador bao gồm nội dung chính trị rõ ràng, liên quan đến nhiều vấn đề và nhân vật chính trị trong nước, cũng như việc tạo ra nhiều hồ sơ và tổ chức giả mạo.

Các nhà nghiên cứu đã phát hiện ra một mạng lưới liên kết rộng lớn giữa phần mềm độc hại và các trang web lừa đảo, được sử dụng trong chiến dịch mở rộng của Ecuador. Phần mềm độc hại mà họ phân phối chủ yếu là Java RATs, như AlienSpy và Adzok. Nhiều trang web đã chia sẻ thông tin đăng ký, trong khi các mẫu phần mềm độc hại thường giao tiếp với daynews.sytes.net, một miền cũng được liên kết với các trường hợp ở Argentina. Cuộc điều tra cũng cho thấy các địa điểm giả mạo ở Venezuela và cơ sở hạ tầng ở Brazil.

Cơ sở hạ tầng C2 của Packrat. Nguồn: citizenlab.ca [/ caption]

Nhóm hack Packrat có cơ sở hạ tầng phát triển tốt và vẫn tương đối an toàn trong vài năm. Các chiến dịch quy mô lớn, tốn kém và được đánh bóng kỹ lưỡng do nhóm hack Packrat thực hiện hướng đến một tác nhân do nhà nước tài trợ được tài trợ và duy trì tốt.

Packrat ảnh chụp màn hình