Der bekannte kriminelle kollektive APT33 die Einzelpersonen und Organisationen in den USA sorgfältig Targeting wurde, Asien, und der Nahe Osten, hat besondere Sorgfalt zu machen Tracking schwieriger gemacht, sagen Trend Micro Forscher.
APT33, glauben die Forscher wird von der Regierung von Iran unterstützt, wurde ein eigenes Netz von VPN-Knoten mit.
Die Kommando- und Kontrolldomänen von APT33 sind in der Regel auf Wolke gehosteten Proxys angeordnet, das Sende-URL-Anforderungen von dem infizierten Bots backends bei freigegebenen webservers. Diese Webserver könnten Tausende von legitimen Domains werden Hosting. So, was passiert als nächstes.
Nach Trend Micro Bericht, “die Backends berichten an einen Daten Aggregator und Bot-Steuerungsserver, auf einem dedizierten IP-Adresse Bot Daten zurück ist. Die APT33 Akteure verbinden auf diese Aggregatoren über ein privates VPN-Netzwerk mit Exit-Knoten, die häufig geändert werden. Die APT33 Akteure dann erteilen Befehle an die Bots und collect Daten von den Bots diese VPN-Verbindungen verwenden.”
Es scheint, dass mit diesen neuesten Angriffsmechanismen, das Hacker-Kollektiv in erster Linie gezielt Opfer in der Öl- und die Luftfahrtindustrie ist. Die meisten dieser Angriffe des Jahres, „Unterzeichnet“ von APT33 verwendet haben Speerfischen verschiedene Ziele zu kompromittieren.
Opfer von Malware-Kampagnen der 2019 durch die Bedrohung Akteure durchgeführt mit einem eigenen US-. Unternehmen in Bezug auf die nationale Sicherheit, Einzelpersonen im Zusammenhang mit einer Universität und einer Hochschule in den USA, ein Individuum auf die US-bezogenen. Militär-, und einige andere Opfer im Nahen Osten und in Asien.
APT33 VPN-Netzwerk
Bedrohung Akteure oft verwenden kommerzielle VPN-Dienste in ihrem Betrieb, sondern auf private Netzwerke Einstellung ist auch eine Sache. Dies kann leicht durch die Anmietung von ein paar Server von internationalen Rechenzentren erreicht werden.
So, wie konnten die Forscher diese Aktivitäten verfolgen?
Obwohl die Verbindungen von privaten VPN-Netzwerken kommen immer noch von scheinbar unabhängigen IP-Adressen auf der ganzen Welt, diese Art von Verkehr ist eigentlich leichte Spur. Sobald wir wissen, dass es einen Ausgang Knoten hauptsächlich durch einen bestimmten Akteur verwendet wird, können wir ein hohes Maß an Vertrauen in der Zuordnung der Anschlüsse haben, die von den IP-Adressen des Ausgangsknoten gemacht werden. Beispielsweise, Neben Verabreichung C&C-Server von einem privaten exit node VPN, Schauspieler könnte auch die Netze der Aufklärung von Zielen tun.
Die Forscher glauben auch, dass APT33 wahrscheinlich nutzt seine VPN-Ausstiegsknoten ausschließlich. Trend Micro ist seit mehr als einem Jahr einige der Gruppe privaten VPN-Ausstiegsknoten Tracking, und als Ergebnis, einige IP-Adressen, um die Vorgänge aufgedeckt haben Hacker in Verbindung gebracht.
Neben der VPN-Schicht, der Hacker ist unter Verwendung auch eine Steuerungsschicht bietet, eine Kommando- und Kontroll Backend-Schicht von Servern verwendet Malware Botnets verwalten, und eine Proxy-Schicht, oder eine Sammlung von Cloud-Proxy-Server.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: