APT-C-23

APT-C-23 est le nom attribué à un groupe de pirates informatiques Advanced Persistent Threat (APT). Le même groupe est également connu sous le nom de Scorpion à deux queues ou Scorpion du désert. Il a été observé que les pirates ont mené plusieurs campagnes menaçantes contre des utilisateurs situés au Moyen-Orient. APT-C-23 utilise à la fois les outils Windows et Android dans leurs opérations.

Les activités du groupe ont été détaillées pour la première fois par les chercheurs de Qihoo 360 Technology en mars 2017. La même année, diverses équipes de recherche infosec ont commencé à attraper différents outils de Troie de voleur d'informations attribués à APT-C-23:

• Palo Alto Networks a décrit une menace qu'ils ont appelée VAMP
• Lookout a analysé un cheval de Troie nommé FrozenCell
• TrendMicro a découvert la menace GnatSpy

En 2018, Lookout a réussi à détecter l'un des outils de Troie de signature dans l'arsenal d'APT-C-23 qu'ils ont nommé Desert Scorpion. La campagne impliquant Desert Scorpion aurait ciblé plus de 100 cibles de Palestine. Les pirates avaient réussi à faufiler leur menace de malware sur le Google Play Store officiel, mais se sont appuyés sur de nombreuses tactiques d'ingénierie sociale pour inciter leurs victimes à le télécharger. Les criminels ont créé un profil Facebook pour une fausse femme qui a été utilisé pour promouvoir les liens menant à l'application de messagerie menaçante appelée Dardesh. La campagne Desert Scorpion impliquait l'une des procédures caractéristiques associées à APT-C-23 - la séparation de la fonctionnalité menaçante de l'attaque en plusieurs étapes, l'application Dardesh agissant simplement comme un compte-gouttes de premier étage qui délivrait la charge utile réelle du deuxième étage.

L'ATP-23-C a repris son activité début 2020 car il était associé à une campagne d'attaque contre des soldats des FDI (Forces de défense israéliennes). Les pirates n'ont pas dévié de leurs opérations standard et ont de nouveau utilisé des applications de messagerie pour diffuser des menaces de chevaux de Troie voleurs d'informations. Les applications menaçantes ont été promues par des sites Web spécialement conçus pour annoncer les fausses fonctionnalités des applications et fournir des liens de téléchargement directs que les victimes ciblées pourraient utiliser.

La dernière opération attribuée à ATP-23-C implique l'utilisation d'une version largement améliorée de leur outil de Troie qui a été nommée Android / SpyC23.A par les chercheurs d'ESET. Les pirates sont toujours concentrés sur la même région avec leur outil menaçant se faisant passer pour l'application WeMessage détectée sur les appareils des utilisateurs situés en Israël. En plus de la gamme normale de fonctions attendues d'un cheval de Troie voleur d'informations moderne, Android / SpyC23.A a été équipé de plusieurs nouvelles capacités puissantes. Il peut lancer des appels tout en cachant son activité derrière un écran noir affiché sur l'appareil compromis. En outre, le cheval de Troie est capable de rejeter diverses notifications de différentes applications de sécurité Android qui dépendent du modèle ou du fabricant spécifique de l'appareil infiltré. Une caractéristique unique d'Android / SpyC23.A est sa capacité à rejeter ses PROPRES notifications. Selon les chercheurs, une telle fonction pourrait être utile pour masquer certaines alertes d'erreur qui pourraient apparaître lors des activités en arrière-plan du cheval de Troie.

ATP-23-C est un groupe de hackers sophistiqués plutôt prolifique qui montre la tendance à faire évoluer constamment ses outils malveillants et à utiliser des stratégies d'ingénierie sociale conçues pour cibler des groupes d'utilisateurs spécifiques.