チーズトレイ

APT38（Advanced Persistent Threat）が再びニュースになりました。このハッキンググループは北朝鮮で活動し、別名ラザロで知られています。彼らの犯罪行為は行き過ぎており、そのメンバーの何人かは現在、米国連邦捜査局に指名されています。 APT38グループの主な動機は、世界中の大規模な金融機関や銀行をターゲットとする傾向があるため、金銭的利益であるようです。このハッキンググループは、北朝鮮政府が直接後援していると考えられているため、金正恩氏の入札を行っている可能性があります。

攻撃者は長い間静かにデータを収集できます

APT38ハッキンググループは、操作の実行に時間がかかる傾向があります。彼らはしばしば標的に潜入し、被害者のシステムに関するデータを収集しながら、レーダーの下でできる限り長く過ごします。これは、攻撃者が最大の結果を達成できるようにキャンペーンを正確に実行する方法を決定するのに役立ちます。 CHEESETRAYツールはバックドア型トロイの木馬であり、APT38グループの武器の一部であり、オペレーターが侵害されたシステムに長期間アクセスできるようにします。 CHEESETRAYマルウェアの興味深い機能は、アクティブモードまたはパッシブモードで動作するように設定されていることです。アクティブモードまたはパッシブモードのどちらで実行されているかは、脅威が侵入したシステムによって決まります。

アクティブモードとパッシブモード

アクティブなバックドアは、攻撃者のC＆C（コマンド＆コントロール）サーバーとの接続を確立し、すぐにデータの送受信を開始します。ただし、このアプローチのマイナス面は、これがかなりうるさいことであり、正当なマルウェア対策アプリケーションは危険なアクティビティを非常に迅速に発見する可能性が高いことです。パッシブバックドアには、より静かなアプローチがあります。このモードでは、CHEESETRAYバックドアが休止状態を維持し、検出を回避する可能性があります。この脅威は、特定のネットワークポートに配信される「マジックパケット」と呼ばれるものを受信するまで非アクティブのままになります。この方法を利用することにより、APT38グループは、脅威となる活動による痕跡が最小限に抑えられるようにします。

能力

CHEESETRAYバックドアトロイの木馬は、そのオペレータに以下を許可します。

• リモートシェルコマンドを送信します。
• システムに存在するファイルを削除します。
• リモートデスクトップセッションを観察します。
• 破損したコードを正当なプロセスに配置します。
• システムで実行されているプロセスを一覧表示します。
• ファイル名やフォルダー名など、ファイルシステムに関するデータを収集します。
• 感染したシステムにファイルをアップロードします。
• 選択したURLからファイルをダウンロードします。

APT38ハッキンググループの活動は間もなく中止されない可能性が高いため、近い将来、注目を集めています。