Packrat
Packrat 黑客組織是一個高級持續性威脅 (APT),已在南美洲(阿根廷、巴西和厄瓜多爾)開展了多項影響深遠的行動。 Packrat 組織的活動在 2015 年達到頂峰。Packrat 威脅行為者傾向於進行網絡釣魚和數據盜竊操作,以及偵察活動。網絡安全研究人員為這個黑客組織選擇了這個名稱,因為他們首選的工具是 RAT(遠程訪問木馬)。 Packrat 小組使用的大多數 RAT 似乎通常被稱為惡意軟件即商品。這意味著 Packrat 集團使用的黑客工具大多是購買或租用的。 Packrat 演員似乎專注於社會工程,而不是從頭開始構建惡意軟件。
Packrat 黑客組織可能在網絡犯罪領域非常有經驗。他們的活動複雜且執行良好。眾所周知,這個威脅行為者會創建虛假身份和整個欺詐公司和組織,以盡可能完善他們的社會工程技巧。一些惡意軟件專家認為 Packrat 組織可能是政府贊助的。這是因為 Packrat 威脅參與者的目標通常是高級政客、調查記者、媒體組織和其他感興趣的大公司。此外,看起來 Packrat 黑客組織開展的活動的維護成本相當高——可能高達數十萬美元。
Packrat 組將通過網絡釣魚操作傳播他們的威脅。這些活動將涉及前面提到的攻擊者設置的虛假組織和身份。 Packrat 組的一些目標也會通過短信進行網絡釣魚。 Packrat 威脅行動者最常用的威脅包括Alien Spy 、Adzok、 Cybergate和Xtreme RAT 。 Packrat 黑客組織的網絡釣魚活動將針對流行網站和服務(如 Facebook、Twitter、Google 和各種即時消息實用程序)的登錄憑據。為了完善他們的社會工程策略,Packrat 威脅參與者還將創建虛假網頁,其唯一目的是為他們精心設計的騙局提供虛假信息。
目錄
事件時間表
2008-2013
Packrat 組織使用的工具和命令和控制基礎設施表明,他們早在 2008 年就開始積極運作。在該組織運作的前五年,威脅參與者使用位於巴西的託管服務,其中一些惡意軟件樣本被從巴西 IP 上傳到在線病毒掃描服務。 Packrat 組織在那個時期用來引誘受害者的許多示例消息都充滿了巴西社會工程內容,這表明黑客專門針對最大的南美國家。
2014-2015
經過一段相對平靜的時期後,Packrat 進入了深水區,其目標是著名的阿根廷記者和電視新聞主持人 Jorge Lanata 和著名的阿根廷律師兼聯邦檢察官 Alberto Nisman。據推測,尼斯曼有指控阿根廷政府高級官員的罪證,包括當時的阿根廷總統克里斯蒂娜·伊麗莎白·費爾南德斯·德·基什內爾。
2015 年 1 月 18 日,當 Nisman 在布宜諾斯艾利斯的公寓中被發現死於槍傷時,發現了 Packrat 組織使用的惡意軟件。布宜諾斯艾利斯大都會警察局的法醫實驗室檢查了 Nisman 的 Android 手機並發現了一個惡意文件命名為'' estrictamente secreto y confidencial.pdf.jar '',翻譯成英文的''嚴格保密和機密''。
一個相同的文件後來從阿根廷上傳到一個在線病毒數據庫,顯示它是 AlienSpy,一個惡意軟件即服務遠程訪問工具包,它使威脅參與者能夠記錄受害者的活動、訪問他們的網絡攝像頭、電子郵件和更多的。該文件是為 Windows 構建的,這意味著攻擊者可能未能成功入侵 Nisman,後者在他的 Android 手機上打開了該文件。
在惡意軟件的發現被公開後,其他人站出來說他們也成為了目標。時任阿根廷總統克里斯蒂娜·伊麗莎白·費爾南德斯·德·基什內爾和阿根廷前總統內斯托爾·基什內爾的兒子馬克西莫·基什內爾聲稱他是同一惡意軟件的攻擊目標,並提供了他從冒充阿根廷法官克勞迪奧·博納迪奧的人那裡收到的電子郵件截圖claudiobonadio88@gmail.com 。
[標題 id="attachment_501190" align="aligncenter" width="300"] 
Máximo Kirchner 收到的電子郵件。資料來源:ambito.com[/caption]
Citizen Lab 的 Morgan Marquis-Boire 的初步分析顯示,針對 Kircher、Lanata 和 Nisman 的惡意軟件與名為 deyrep24.ddns.net 的命令和控制 (C2) 服務器相關聯。在進一步檢查後,發現其他三個惡意軟件樣本使用了相同的deyrep24.ddns.net C2 域。其中一個樣本是一份名為“ 3 MAR PROYECTO GRIPEN.docx.jar ”的惡意文件,據稱其中包含厄瓜多爾駐瑞典大使和厄瓜多爾總統拉斐爾·科雷亞之間就戰鬥機採購問題的通信。
Citizen Lab 的研究人員在 2015 年收到大量針對厄瓜多爾記者和公眾人物的網絡釣魚攻擊報告後進行了進一步研究。他們檢查的許多惡意電子郵件和 SMS 不是政治主題,而只是不同電子郵件提供商和社交網絡的憑據收集器媒體。進一步的研究表明,厄瓜多爾的競選活動包括明確的政治內容,涉及該國各種各樣的政治問題和人物,以及創建許多虛假的個人資料和組織。
研究人員發現了廣泛的厄瓜多爾活動中使用的惡意軟件和網絡釣魚站點之間的巨大互連網絡。他們分發的惡意軟件主要是 Java RAT,例如 AlienSpy 和 Adzok。許多網站共享註冊信息,而惡意軟件樣本通常與 daynews.sytes.net 通信,該域也與阿根廷案件相關聯。調查還發現了委內瑞拉的虛假網站和巴西的基礎設施。
[標題 id="attachment_501254" align="aligncenter" width="300"] 
Packrat 的 C2 基礎架構。資料來源:citizenlab.ca[/caption]
Packrat 黑客組織擁有完善的基礎設施,多年來一直保持相對安全。 Packrat 黑客組織開展的大規模、成本高昂且精心策劃的活動指向了一個資金充足且維護良好的國家資助的參與者。
Packrat 截图
網址
Packrat 可能會調用以下網址:
| conhost.servehttp.com |
| daynews.sytes.net |
| deyrep24.ddns.net |
| dllhost.servehttp.com |
| lolinha.no-ip.org |
| ruley.no-ip.org |
| taskmgr.redirectme.com |
| taskmgr.serveftp.com |
| taskmgr.servehttp.com |
| wjwj.no-ip.org |
| wjwjwj.no-ip.org |
| wjwjwjwj.no-ip.org |
