Ke3chang

中国から来たと考えられている最も人気のあるハッキンググループの1つは、Ke3chang APT（Advanced Persistent Threat）です。それらはAPT15としても知られています。マルウェアの研究者は、Ke3changハッキンググループの活動を注意深く監視しており、興味深い発見をいくつか行ってきました。 APT15のキャンペーンは、同様の戦術、ほぼ同一のインフラストラクチャ、一致するペイロードなど、他の中国のハッキンググループのキャンペーンといくつかの重要な類似点を持っているようです。これらの中国を拠点とするハッキンググループには、Playful Dragon、GREF、RoyalAPT、Vixen Panda、Mirageがあります。通常、このような密接な類似性は、2つのことのいずれか（または両方）を意味します。特定の著名なハッカーが複数のグループのメンバーであるか、ハッキンググループが情報と技術を共有しているため、相互に有益です。

Ke3changのハッキングツールの武器

Ke3changハッキンググループは、重要性の高い業界や個人を攻撃する傾向があります。彼らは、軍事および石油産業、外交官、政治家、およびさまざまな政府機関に対して攻撃を実行したことが知られています。 Ke3changハッキンググループは、独自のハッキングツールを開発し、それらをほぼ独占的に使用して操作を実行します。 Ke3changグループの広大な武器庫にあるツールには、 TidePool 、 Ketrican 、 RoyalDNS 、 BS2005 、 Okrumなどがあります。しかし、サイバーセキュリティの専門家は、Ke3changハッキンググループが、侵害されたホストから情報を収集するために使用されるMimikatzと呼ばれる公開されているハッキングツールを利用するキャンペーンを発見しました。

Ke3changグループが通常どのように攻撃を実行するか

2010年に、Ke3chang APTは、ヨーロッパの高位の政治家に対する悪名高いキャンペーンで地図に登場しました。彼らはまた、南米で同様の個人を対象としたキャンペーンを開始したことでも知られています。通常、Ke3changハッキンググループは、ホストに侵入し、ソフトウェアやハードウェアのデータなど、システムに関する情報を収集するようにします。これは、攻撃者が操作を続行するための最も効率的な方法を決定するのに役立ちます。チャットログ、パスワード、ドキュメントなどの他のデータも盗み出されます。次に、攻撃者は、侵害されたマシンで自分の特権を利用し、同じネットワークに接続されている他の潜在的に脆弱なシステムに侵入しようとする可能性があります。

Okrumマルウェア

Ke3changグループの王冠の宝石はOkrumマルウェアです。この脅威は特に複雑で印象的です。ハッキンググループは、かなり複雑な伝播方法であるステガノグラフィも使用しています。この手法では、脅威の侵害されたスクリプトを特別に調整されたPNGファイルに挿入します。

通常、Ke3changハッキンググループは、感染したシステムでの永続性を確実に獲得します。これにより、植え付けられた脅威を長期間アクティブに保つことができます。