Packrat
Packrat 黑客组织是一个高级持续性威胁 (APT),已在南美洲(阿根廷、巴西和厄瓜多尔)开展了多项影响深远的行动。 Packrat 组织的活动在 2015 年达到顶峰。Packrat 威胁行为者倾向于进行网络钓鱼和数据盗窃操作,以及侦察活动。网络安全研究人员为这个黑客组织选择了这个名称,因为他们首选的工具是 RAT(远程访问木马)。 Packrat 小组使用的大多数 RAT 似乎通常被称为恶意软件即商品。这意味着 Packrat 集团使用的黑客工具大多是购买或租用的。 Packrat 演员似乎专注于社会工程,而不是从头开始构建恶意软件。
Packrat 黑客组织可能在网络犯罪领域非常有经验。他们的活动复杂且执行良好。众所周知,这个威胁行为者会创建虚假身份和整个欺诈公司和组织,以尽可能完善他们的社会工程技巧。一些恶意软件专家认为 Packrat 组织可能是政府赞助的。这是因为 Packrat 威胁参与者的目标通常是高级政客、调查记者、媒体组织和其他感兴趣的大公司。此外,看起来 Packrat 黑客组织开展的活动的维护成本相当高——可能高达数十万美元。
Packrat 组将通过网络钓鱼操作传播他们的威胁。这些活动将涉及前面提到的攻击者设置的虚假组织和身份。 Packrat 组的一些目标也会通过短信进行网络钓鱼。 Packrat 威胁行动者最常用的威胁包括Alien Spy 、Adzok、 Cybergate和Xtreme RAT 。 Packrat 黑客组织的网络钓鱼活动将针对流行网站和服务(如 Facebook、Twitter、Google 和各种即时消息实用程序)的登录凭据。为了完善他们的社会工程策略,Packrat 威胁参与者还将创建虚假网页,其唯一目的是为他们精心设计的骗局提供虚假信息。
目录
事件时间表
2008-2013
Packrat 组织使用的工具和命令和控制基础设施表明,他们早在 2008 年就开始积极运作。在该组织运作的前五年,威胁参与者使用位于巴西的托管服务,其中一些恶意软件样本被从巴西 IP 上传到在线病毒扫描服务。 Packrat 组织在那个时期用来引诱受害者的许多示例消息都充满了巴西社会工程内容,这表明黑客专门针对最大的南美国家。
2014-2015
经过一段相对平静的时期后,Packrat 进入了深水区,其目标是著名的阿根廷记者和电视新闻主持人 Jorge Lanata 和著名的阿根廷律师兼联邦检察官 Alberto Nisman。据推测,尼斯曼有指控阿根廷政府高级官员的罪证,包括当时的阿根廷总统克里斯蒂娜·伊丽莎白·费尔南德斯·德·基什内尔。
2015 年 1 月 18 日,当 Nisman 在布宜诺斯艾利斯的公寓中被发现死于枪伤时,发现了 Packrat 组织使用的恶意软件。布宜诺斯艾利斯大都会警察局的法医实验室检查了 Nisman 的 Android 手机并发现了一个恶意文件命名为'' estrictamente secreto y confidencial.pdf.jar '',翻译成英文的''严格保密和机密''。
一个相同的文件后来从阿根廷上传到一个在线病毒数据库,显示它是 AlienSpy,一个恶意软件即服务远程访问工具包,它使威胁参与者能够记录受害者的活动、访问他们的网络摄像头、电子邮件和更多的。该文件是为 Windows 构建的,这意味着攻击者可能未能成功入侵 Nisman,后者在他的 Android 手机上打开了该文件。
在恶意软件的发现被公开后,其他人站出来说他们也成为了目标。时任阿根廷总统克里斯蒂娜·伊丽莎白·费尔南德斯·德·基什内尔和阿根廷前总统内斯托尔·基什内尔的儿子马克西莫·基什内尔声称他是同一恶意软件的攻击目标,并提供了他从冒充阿根廷法官克劳迪奥·博纳迪奥的人那里收到的电子邮件截图claudiobonadio88@gmail.com 。
[标题 id="attachment_501190" align="aligncenter" width="300"] 
Máximo Kirchner 收到的电子邮件。资料来源:ambito.com[/caption]
Citizen Lab 的 Morgan Marquis-Boire 的初步分析显示,针对 Kircher、Lanata 和 Nisman 的恶意软件与名为 deyrep24.ddns.net 的命令和控制 (C2) 服务器相关联。在进一步检查后,发现其他三个恶意软件样本使用了相同的deyrep24.ddns.net C2 域。其中一个样本是一份名为“ 3 MAR PROYECTO GRIPEN.docx.jar ”的恶意文件,据称其中包含厄瓜多尔驻瑞典大使和厄瓜多尔总统拉斐尔·科雷亚之间就战斗机采购问题的通信。
Citizen Lab 的研究人员在 2015 年收到大量针对厄瓜多尔记者和公众人物的网络钓鱼攻击报告后进行了进一步研究。他们检查的许多恶意电子邮件和 SMS 不是政治主题,而只是不同电子邮件提供商和社交网络的凭据收集器媒体。进一步的研究表明,厄瓜多尔的竞选活动包括明确的政治内容,涉及该国各种各样的政治问题和人物,以及创建许多虚假的个人资料和组织。
研究人员发现了广泛的厄瓜多尔活动中使用的恶意软件和网络钓鱼站点之间的巨大互连网络。他们分发的恶意软件主要是 Java RAT,例如 AlienSpy 和 Adzok。许多网站共享注册信息,而恶意软件样本通常与 daynews.sytes.net 通信,该域也与阿根廷案件相关联。调查还发现了委内瑞拉的虚假网站和巴西的基础设施。
[标题 id="attachment_501254" align="aligncenter" width="300"] 
Packrat 的 C2 基础架构。资料来源:citizenlab.ca[/caption]
Packrat 黑客组织拥有完善的基础设施,多年来一直保持相对安全。 Packrat 黑客组织开展的大规模、成本高昂且精心策划的活动指向了一个资金充足且维护良好的国家资助的参与者。
Packrat 截图
网址
Packrat 可能会调用以下网址:
| conhost.servehttp.com |
| daynews.sytes.net |
| deyrep24.ddns.net |
| dllhost.servehttp.com |
| lolinha.no-ip.org |
| ruley.no-ip.org |
| taskmgr.redirectme.com |
| taskmgr.serveftp.com |
| taskmgr.servehttp.com |
| wjwj.no-ip.org |
| wjwjwj.no-ip.org |
| wjwjwjwj.no-ip.org |
