KÄSETRAY

Der APT38 (Advanced Persistent Threat) ist wieder in den Nachrichten. Diese Hacking-Gruppe operiert aus Nordkorea und ist auch unter dem Pseudonym Lazarus bekannt. Ihre kriminellen Aktivitäten gingen so weit über Bord, dass einige ihrer Mitglieder derzeit vom Federal Bureau of Investigation der Vereinigten Staaten gesucht werden. Die Hauptmotivation der APT38-Gruppe scheint der Geldgewinn zu sein, da sie sich in der Regel an große Finanzinstitute und Banken auf der ganzen Welt richtet. Es wird angenommen, dass diese Hacking-Gruppe direkt von der nordkoreanischen Regierung gesponsert wird, sodass es wahrscheinlich ist, dass sie sich an Kim Jong-un beteiligen.

Ermöglicht den Angreifern, Daten über lange Zeit still zu sammeln

Die APT38-Hacking-Gruppe neigt dazu, sich bei der Durchführung einer Operation Zeit zu lassen. Oft infiltrierten sie ihr Ziel und gaben so viel Zeit wie möglich unter ihrem Radar aus, während sie Daten über das System des Opfers sammelten. Auf diese Weise können die Angreifer entscheiden, wie die Kampagne genau ausgeführt werden soll, um maximale Ergebnisse zu erzielen. Das CHEESETRAY-Tool ist ein Backdoortrojaner, der Teil des Arsenals der APT38-Gruppe ist und seinen Betreibern langfristigen Zugriff auf das gefährdete System ermöglicht. Ein interessantes Merkmal der CHEESETRAY-Malware ist, dass sie entweder im aktiven oder im passiven Modus ausgeführt werden kann. Ob es im aktiven oder passiven Modus ausgeführt wird, hängt vom System ab, in das die Bedrohung eingedrungen ist.

Aktivmodus und Passivmodus

Eine aktive Hintertür stellt eine Verbindung zum C & C-Server (Command & Control) des Angreifers her und beginnt sofort mit dem Senden und Empfangen von Daten. Die negative Seite dieses Ansatzes ist jedoch, dass dies ziemlich laut ist und eine legitime Anti-Malware-Anwendung die unsichere Aktivität wahrscheinlich sehr schnell erkennt. Eine passive Hintertür ist viel leiser. In diesem Modus bleibt die CHEESETRAY-Hintertür inaktiv und wird wahrscheinlich nicht erkannt. Die Bedrohung bleibt inaktiv, bis sie ein sogenanntes "Magic Packet" empfängt, das an einen bestimmten Netzwerkport gesendet wird. Mit dieser Methode stellt die APT38-Gruppe sicher, dass nur minimale Spuren von ihrer bedrohlichen Aktivität zurückbleiben.

Fähigkeiten

Der CHEESETRAY-Backdoor-Trojaner ermöglicht seinen Betreibern:

• Senden Sie Remote-Shell-Befehle.
• Löschen Sie auf dem System vorhandene Dateien.
• Beobachten Sie Remotedesktopsitzungen.
• Platzieren Sie den beschädigten Code in legitimen Prozessen.
• Auflisten von Prozessen, die auf dem System ausgeführt werden.
• Sammeln Sie Daten über das Dateisystem, z. B. Dateinamen und Ordnernamen.
• Laden Sie Dateien auf das infizierte System hoch.
• Laden Sie Dateien von einer ausgewählten URL herunter.

Die Aktivität der APT38-Hacking-Gruppe wird wahrscheinlich in Kürze nicht aufhören, daher werden sie in absehbarer Zukunft weiterhin Schlagzeilen machen.