Fromage

L'APT38 (menace persistante avancée) fait de nouveau l'actualité. Ce groupe de piratage opère depuis la Corée du Nord et est également connu sous le pseudonyme de Lazarus. Leurs activités criminelles ont tellement poussé à la mer que certains de leurs membres sont actuellement recherchés par le Federal Bureau of Investigation des États-Unis. La principale motivation du groupe APT38 semble être le gain monétaire, car ils ont tendance à viser les grandes institutions financières et les banques du monde entier. On pense que ce groupe de piratage est parrainé directement par le gouvernement nord-coréen. Il est donc probable qu'ils répondent aux attentes de Kim Jong-un.

Permet aux attaquants de collecter des données sur une longue période en silence

Le groupe de piratage APT38 a tendance à prendre son temps lors d’une opération. Ils infiltrent souvent leur cible et passent aussi longtemps qu'ils le peuvent sous leur radar, tout en collectant des données sur le système de leur victime. Cela aide les attaquants à décider de la manière exacte de mener la campagne de manière à obtenir le maximum de résultats. CHEESETRAY est un cheval de Troie de porte dérobée qui fait partie de l’arsenal du groupe APT38 et permet aux opérateurs d’avoir accès au système compromis à long terme. Une caractéristique intéressante du malware CHEESETRAY est qu’il a été configuré pour pouvoir fonctionner en mode actif ou en mode passif. Le fait que la menace se soit infiltrée détermine si le système fonctionne en mode actif ou passif.

Mode actif et mode passif

Une porte dérobée active établirait une connexion avec le serveur C & C (Command & Control) des attaquants et commencerait à envoyer et à recevoir des données immédiatement. Cependant, le côté négatif de cette approche est qu’elle est plutôt bruyante et qu’une application anti-malware légitime détectera très rapidement l’activité non sécurisée. Une porte dérobée passive a une approche beaucoup plus silencieuse. Ce mode permettrait à la porte dérobée de CHEESETRAY de rester en sommeil et d’éviter toute détection. La menace restera inactive jusqu'à ce qu'elle reçoive ce qu'on appelle un «paquet magique», qui est transmis à un certain port réseau. En utilisant cette méthode, le groupe APT38 veille à ce qu’il reste très peu de traces de son activité menaçante.

Les capacités

Le Trojan Backdoor CHEESETRAY permet à ses opérateurs de:

  • Envoyer des commandes shell à distance.
  • Supprimer les fichiers présents sur le système.
  • Observez les sessions Remote Desktop.
  • Plantez son code corrompu dans des processus légitimes.
  • Répertorie les processus en cours d'exécution sur le système.
  • Recueillez des données sur le système de fichiers, telles que les noms de fichier et les noms de dossiers.
  • Téléchargez des fichiers sur le système infecté.
  • Télécharger des fichiers à partir d'une URL sélectionnée.

L'activité du groupe de piratage APT38 ne cessera probablement pas de sitôt, nous allons donc continuer à le voir faire la une des journaux dans un avenir prévisible.

Tendance

Le plus regardé

Chargement...