Packrat

PackratハッキンググループはAdvancedPersistent Threat（APT）であり、南米（アルゼンチン、ブラジル、エクアドル）に集中して広範囲にわたる操作を実行してきました。 Packratグループの活動は、2015年にピークに達しました。Packratの脅威アクターは、偵察キャンペーンと並行して、フィッシングやデータ盗難の操作を実行する傾向があります。サイバーセキュリティの研究者は、このハッキンググループにこの名前を選択しました。これは、推奨されるツールがRAT（リモートアクセストロイの木馬）であるためです。 Packratグループが利用するRATのほとんどは、商品としてのマルウェアと呼ばれることが多いもののようです。これは、Packratグループが使用するハッキングツールが主に購入またはレンタルされていることを意味します。 Packratアクターは、マルウェアをゼロから構築するのではなく、ソーシャルエンジニアリングを専門としているようです。

Packratハッキンググループは、サイバー犯罪の分野で非常に経験豊富である可能性があります。彼らのキャンペーンは複雑でよく実行されています。この脅威アクターは、ソーシャルエンジニアリングのトリックを可能な限り洗練させるために、偽のIDや不正な企業や組織全体を作成することで知られています。一部のマルウェア専門家は、Packratグループが政府の支援を受けている可能性があると考えています。これは、Packratの脅威アクターの標的が、多くの場合、高位の政治家、調査ジャーナリスト、メディア組織、およびその他の関心のある大企業であるという事実によるものです。さらに、Packratハッキンググループによって実行されたキャンペーンは、維持するのにかなり費用がかかるように思われます–おそらく数十万ドルになります。

Packratグループは、フィッシング操作を介して脅威を広めます。これらのキャンペーンには、攻撃者によって設定された前述の偽の組織とIDが含まれます。 Packratグループのターゲットのいくつかは、テキストメッセージを介したフィッシングでもあります。俳優を脅かすPackratすることにより、最も一般的に使用される脅威の中にはスパイエイリアン、Adzok、 CybergateとエクストリームRAT 。 Packratハッキンググループのフィッシングキャンペーンは、Facebook、Twitter、Google、さまざまなインスタントメッセージングユーティリティなどの人気のあるWebサイトやサービスのログイン資格情報を標的にします。ソーシャルエンジニアリングの戦術を完成させるために、Packratの脅威アクターは偽のWebページも作成します。その唯一の目的は、手の込んだ短所につながる偽情報です。

イベントのタイムライン

2008-2013

Packratグループが使用するツールとコマンドアンドコントロールインフラストラクチャは、2008年には積極的に運用されていたことを示しています。グループの運用の最初の5年間、攻撃者はブラジルにあるホスティングサービスを使用し、マルウェアサンプルの一部はブラジルのIPからオンラインウイルススキャンサービスにアップロードされました。 Packratグループがその期間に犠牲者を餌にするために使用したサンプルメッセージの多くは、ブラジルのソーシャルエンジニアリングコンテンツで埋め尽くされており、ハッカーが南米最大の国を独占的に標的にしていたことを示唆しています。

2014-2015

比較的平穏な期間を経て、パックラットは、有名なアルゼンチンのジャーナリストでテレビのニュースホストであるホルゲ・ラナタと、著名なアルゼンチンの弁護士であり連邦検察官であるアルベルト・ニスマンを標的にしたとき、深海に入りました。ニスマンは、当時のアルゼンチンのクリスティーナ・エリザベト・フェルナンデス・デ・キルヒナー大統領を含む、アルゼンチン政府の高官に対して有罪の証拠を持っていたと思われます。

Packratグループが使用したマルウェアの発見は、2015年1月18日にブエノスアイレスのアパートで銃創によりニスマンが死亡したことが判明したときに行われました。ブエノスアイレスメトロポリタン警察の法医学研究所がニスマンのAndroidスマートフォンを調べ、悪意のあるファイルを発見しました'' estrictamente secreto y confidencial.pdf.jar ''という名前で、英語では''厳密に秘密で機密''に変換されます。

同一のファイルが後にアルゼンチンからオンラインウイルスデータベースにアップロードされ、AlienSpyであることが明らかになりました。これは、脅威の攻撃者が被害者の活動を記録し、Webカメラ、電子メールにアクセスし、もっと。このファイルはWindows用に作成されたものです。つまり、攻撃者は、Android携帯で開いたニスマンをハッキングしようとして失敗した可能性があります。

マルウェアの発見が公表された後、他の人たちも標的にされたと言って前に出てきました。当時のアルゼンチン大統領クリスティーナ・エリザベト・フェルナンデス・デ・キルチネルと元アルゼンチン大統領ネストル・キルチネルの息子であるマキシモ・キルチネルは、同じマルウェアの標的にされたと主張し、アルゼンチンの裁判官クラウディオ・ボナディオになりすました誰かから受け取ったメールのスクリーンショットを提供しました。 claudiobonadio88@gmail.com 。

マキシモ・キルチネルが受信したメール。出典：ambito.com [/ caption]

CitizenLabのMorganMarquis-Boireによる最初の分析では、Kircher、Lanata、およびNismanに対して使用されたマルウェアが、deyrep24.ddns.netという名前のコマンドアンドコントロール（C2）サーバーにリンクされていることが明らかになりました。同じdeyrep24.ddns.netC2ドメインが、さらに調査したところ、他の3つのマルウェアサンプルで使用されていることが判明しました。サンプルの1つは、「 3 MAR PROYECTO GRIPEN.docx.jar 」という名前の悪意のある文書であり、戦闘機の取得に関するエクアドルのスウェーデン大使とエクアドルのラファエルコレア大統領との間の通信が含まれていると思われます。

シチズンラボの研究者は、2015年にエクアドルでジャーナリストや公人に対するフィッシング攻撃の報告を多数受け取った後、さらに調査を行いました。調査した悪意のあるメールやSMSの多くは、政治をテーマにしたものではなく、さまざまなメールプロバイダーやソーシャルの資格情報収集者でした。メディア。さらなる調査により、エクアドルでのキャンペーンには、国内のさまざまな政治的問題や人物に関する明確な政治的内容、および多くの偽のプロフィールや組織の作成が含まれていることが明らかになりました。

研究者たちは、広範なエクアドルキャンペーンで使用されたマルウェアとフィッシングサイト間の相互接続の広大なウェブを発見しました。彼らが配布したマルウェアは、ほとんどがAlienSpyやAdzokなどのJavaRATでした。多くのWebサイトは登録情報を共有していましたが、マルウェアのサンプルは通常、アルゼンチンの事例にもリンクされているドメインであるdaynews.sytes.netと通信していました。調査では、ベネズエラの偽のサイトとブラジルのインフラストラクチャも明らかになりました。

PackratのC2インフラストラクチャ。出典：citizenlab.ca [/ caption]

Packratハッキンググループには、数年間比較的安全な状態が保たれている十分に開発されたインフラストラクチャがあります。 Packratハッキンググループによって実施された大規模で費用がかかり、洗練されたキャンペーンは、資金が豊富で維持されている国が後援する俳優を指しています。

Packratスクリーンショット