Den velkendte kriminelle kollektiv APT33 der er blevet omhyggeligt rettet mod enkeltpersoner og organisationer i USA, Asien, og Mellemøsten, har taget særlig omhu for at gøre sporing vanskeligere, sige Trend Micro forskere.
APT33, som forskere mener støttes af regeringen i Iran, har brugt sit eget netværk af VPN knuder.
De kommando- og kontrolsystemer domæner APT33 er normalt placeret på cloud-hosted fuldmagter, som transmittere URL anmodninger fra de inficerede robotter til backends på delte webservere. Disse webservere kunne være vært for tusindvis af legitime domæner. Så, hvad sker der nu.
Ifølge Trend Micros rapport, “de backends rapporterer bot data tilbage til en data aggregator og bot kontrol-server, der er på en dedikeret IP-adresse. De APT33 aktører forbindelse til disse nyhedslæsere via en privat VPN-netværk med exit noder, der er ændret hyppigt. De APT33 aktører derefter udstede kommandoer til de bots og indsamle data fra bots ved hjælp af disse VPN-forbindelser.”
Det fremgår, at med disse seneste angreb mekanismer, hacking kollektive blevet primært rettet mod ofre i olien og luftfartsindustrien. Det meste af dette års angreb, ”Underskrevet” af APT33 har brugt spyd-phishing at gå på kompromis forskellige mål.
Ofre for 2019 er malware, der lanceres af de trusler aktører omfatter en privat US. Selskabet relateret til den nationale sikkerhed, individer relateret til et universitet og et college i USA, en person relateret til US. militær, og nogle andre ofre i Mellemøsten og Asien.
APT33 VPN netværk
Threat skuespillere bruger ofte kommercielle VPN-tjenester i deres operationer, men at oprette private netværk er også en ting. Dette kan nemt gøres ved at leje et par servere fra internationale datacentre.
Så, hvordan var forskerne i stand til at spore denne aktivitet?
Selvom forbindelser fra private VPN-netværk kommer stadig fra tilsyneladende uafhængige IP-adresser rundt om i verden, denne form for trafik er faktisk nemmere at sporet. Når vi ved, at en exit node primært bliver brugt af en bestemt skuespiller, vi kan have en høj grad af tillid til at tildelingen af forbindelser, der er fremstillet af de IP-adresserne på exit node. For eksempel, udover indgivelse C&C-servere fra en privat VPN exit node, en skuespiller kan også gøre rekognoscering af mål netværk.
Forskerne mener også, at APT33 bruger sandsynligvis sine VPN exit noder udelukkende. Trend Micro har været at spore nogle af koncernens private VPN-exit noder i mere end et år, og som et resultat, nogle IP-adresser relateret til hackere operationer er blevet afsløret.
Ud over den VPN laget, hackere også udnytte en bot controller lag, en kommando og kontrol backend lag af servere bruges til at administrere malware botnet, og en proxy lag, eller en samling af cloud proxyservere.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: