Ke3change

Eine der beliebtesten Hacker-Gruppen, die vermutlich aus China stammt, ist die Ke3chang APT (Advanced Persistent Threat). Sie werden auch als APT15 bezeichnet. Im Laufe der Zeit haben Malware-Forscher die Aktivitäten der Hackergruppe Ke3chang genau im Auge behalten und einige interessante Entdeckungen gemacht. Es scheint, dass die Kampagnen von APT15 einige signifikante Ähnlichkeiten mit denen anderer chinesischer Hackergruppen aufweisen, wie etwa ähnliche Taktiken, fast identische Infrastruktur und übereinstimmende Nutzlasten. Zu diesen in China ansässigen Hackergruppen gehören Playful Dragon, GREF, RoyalAPT, Vixen Panda und Mirage. Normalerweise bedeuten solche Ähnlichkeiten eines von zwei Dingen (oder beides) – bestimmte prominente Hacker sind Mitglieder von mehr als einer Gruppe oder/und die Hackergruppen teilen Informationen und Techniken, die für beide Seiten von Vorteil sind.

Ke3changs Arsenal an Hacking-Tools

Die Hacking-Gruppe Ke3chang neigt dazu, Industrien oder Einzelpersonen von hoher Bedeutung anzugreifen. Es ist bekannt, dass sie Angriffe gegen das Militär und die Ölindustrie sowie gegen Diplomaten, Politiker und verschiedene Regierungsbehörden ausgeführt haben. Die Hacking-Gruppe Ke3chang entwickelt eigene Hacking-Tools und führt ihre Operationen fast ausschließlich damit aus. Einige der Tools im riesigen Arsenal der Ke3chang-Gruppe sind TidePool , Ketrican , RoyalDNS , BS2005 , Okrum und andere. Cybersicherheitsexperten haben jedoch eine Kampagne entdeckt, bei der die Hacking-Gruppe Ke3chang ein öffentlich zugängliches Hacking-Tool namens Mimikatz verwendet , das zum Sammeln von Informationen vom kompromittierten Host verwendet wird.

Wie die Ke3chang-Gruppe ihre Angriffe normalerweise durchführt

Bereits 2010 machte die Ke3chang APT mit ihrer berüchtigten Kampagne gegen hochrangige Politiker in Europa auf sich aufmerksam. Es ist auch bekannt, dass sie in Südamerika Kampagnen gestartet haben, die auf ähnliche Personen abzielen. Normalerweise stellt die Hacking-Gruppe Ke3chang sicher, dass sie einen Host infiltriert und Informationen über das System sammelt, beispielsweise Software- und Hardwaredaten. Dies hilft den Angreifern zu entscheiden, wie sie den Vorgang am effizientesten fortsetzen können. Andere Daten werden ebenfalls exfiltriert, wie z. B. Chatprotokolle, Passwörter, Dokumente usw. Dann können die Angreifer ihre Privilegien auf dem kompromittierten Computer nutzen und versuchen, andere potenziell anfällige Systeme zu infiltrieren, die mit demselben Netzwerk verbunden sind.

Die Okrum-Malware

Das Juwel in der Krone der Ke3chang Group ist die Okrum-Malware. Diese Bedrohung ist komplex und besonders beeindruckend. Die Hackergruppe verwendet auch eine ziemlich komplizierte Verbreitungsmethode – Steganographie. Bei dieser Technik wird das kompromittierte Skript der Bedrohung in eine speziell zugeschnittene PNG-Datei eingefügt.

Normalerweise sorgt die Hacking-Gruppe Ke3chang dafür, dass die Persistenz im infizierten System erreicht wird. Dies hilft ihnen, die gepflanzte Bedrohung für längere Zeit aktiv zu halten.

Im Trend

Am häufigsten gesehen

Wird geladen...