APT-C-23

APT-C-23 ist der Name, der einer Gruppe von Hackern mit Advanced Persistent Threat (APT) zugewiesen wurde. Dieselbe Gruppe ist auch als Two-Tailed Scorpion oder Desert Scorpion bekannt. Es wurde beobachtet, dass die Hacker mehrere Bedrohungskampagnen gegen Benutzer im Nahen Osten durchführen. APT-C-23 verwendet sowohl Windows- als auch Android-Tools für ihre Operationen.

Die Aktivitäten der Gruppe wurden bereits im März 2017 von den Forschern von Qihoo 360 Technology detailliert beschrieben. Im selben Jahr begannen verschiedene Infosec-Forschungsteams, verschiedene Info-Stealer-Trojaner-Tools zu fangen, die APT-C-23 zugeschrieben wurden:

• Palo Alto Networks beschrieb eine Bedrohung, die sie VAMP nannten
• Lookout analysierte einen Trojaner namens FrozenCell
• TrendMicro hat die GnatSpy- Bedrohung aufgedeckt

Im Jahr 2018 gelang es Lookout, eines der typischen Trojaner-Tools im Arsenal von APT-C-23 zu entdecken, das sie Desert Scorpion nannten. Die Kampagne mit Desert Scorpion soll über 100 Ziele aus Palästina ins Visier genommen haben. Die Hacker hatten es geschafft, ihre Malware-Bedrohung im offiziellen Google Play Store zu verbergen, stützten sich jedoch auf zahlreiche Social-Engineering-Taktiken, um ihre Opfer zum Herunterladen zu verleiten. Die Kriminellen erstellten ein Facebook-Profil für eine gefälschte Frau, mit dem die Links beworben wurden, die zur bedrohlichen Messaging-Anwendung namens Dardesh führten. Die Desert Scorpion-Kampagne umfasste eines der charakteristischen Verfahren im Zusammenhang mit APT-C-23 - die Aufteilung der Bedrohungsfunktionalität des Angriffs in mehrere Stufen, da die Dardesh-Anwendung lediglich als Dropper der ersten Stufe fungierte, der die tatsächliche Nutzlast der zweiten Stufe lieferte.

ATP-23-C nahm seine Aktivitäten mit Beginn des Jahres 2020 wieder auf, da sie mit einer Angriffskampagne gegen IDF-Soldaten (Israel Defense Force) in Verbindung gebracht wurden. Die Hacker weichen nicht von ihren Standardvorgängen ab und verwenden erneut Messaging-Anwendungen, um Trojaner-Bedrohungen durch Info-Stealer zu verbreiten. Die bedrohlichen Anwendungen wurden von speziell gestalteten Websites beworben, die die gefälschten Funktionen der Anwendungen bewerben und direkte Download-Links bereitstellen sollten, die die betroffenen Opfer verwenden konnten.

Die neueste Operation, die ATP-23-C zugeschrieben wird, beinhaltet die Verwendung einer stark verbesserten Version ihres Trojaner-Tools, das von den Forschern von ESET als Android / SpyC23.A bezeichnet wurde. Die Hacker konzentrieren sich immer noch auf dieselbe Region, wobei ihr bedrohliches Tool die WeMessage-Anwendung darstellt, die auf Geräten von Benutzern in Israel erkannt wird. Zusätzlich zu den normalen Funktionen, die von einem modernen Info-Stealer-Trojaner erwartet werden, wurde Android / SpyC23.A mit mehreren neuen leistungsstarken Funktionen ausgestattet. Es kann Anrufe einleiten, während es seine Aktivität hinter einem schwarzen Bildschirm verbirgt, der auf dem gefährdeten Gerät angezeigt wird. Darüber hinaus kann der Trojaner verschiedene Benachrichtigungen von verschiedenen Android-Sicherheitsanwendungen verwerfen, die vom jeweiligen Modell oder Hersteller des infiltrierten Geräts abhängen. Eine einzigartige Funktion von Android / SpyC23.A ist die Möglichkeit, EIGENE Benachrichtigungen zu schließen. Laut den Forschern könnte eine solche Funktion nützlich sein, um bestimmte Fehlerwarnungen auszublenden, die während der Hintergrundaktivitäten des Trojaners auftreten können.

ATP-23-C ist eine ziemlich produktive, hoch entwickelte Hacker-Gruppe, die die Tendenz zeigt, ihre Malware-Tools ständig weiterzuentwickeln und Social-Engineering-Strategien anzuwenden, die auf bestimmte Benutzergruppen ausgerichtet sind.