Il noto APT33 collettiva criminale che è stato accuratamente di mira individui e le organizzazioni negli Stati Uniti, Asia, e il Medio Oriente, ha preso la cura speciale per rendere più difficile il monitoraggio, dicono i ricercatori Trend Micro.
APT33, che i ricercatori ritengono è sostenuto dal governo iraniano, ha utilizzato la propria rete di nodi VPN.
I domini di comando e controllo di APT33 sono di solito si trova sul proxy cloud-hosted, che le richieste di trasmissione URL dal bot infetti backend a server web condivisi. Questi server web potrebbe ospitare migliaia di domini legittimi. Così, cosa succede dopo.
Secondo rapporto di Trend Micro, “i backend riferire i dati a un server bot aggregatore di dati e il controllo bot che si trova su un indirizzo IP dedicato. Gli attori APT33 si collegano a questi aggregatori tramite una rete VPN privata con i nodi di uscita che sono cambiato di frequente. Gli attori APT33 poi emettere comandi ai bot e dati riscuotere dal bot utilizzano queste connessioni VPN.”
Sembra che con questi ultimi meccanismi di attacco, il collettivo hacker è stato in primo luogo di mira vittime nell'olio e le industrie aeronautiche. La maggior parte degli attacchi di quest'anno, “Firmato” da APT33 hanno utilizzato spear-phishing scendere a compromessi vari obiettivi.
Le vittime del 2019 di campagne di malware effettuati dagli attori delle minacce includono una U.S. privato. società collegata alla sicurezza nazionale, individui legati ad un'università e una scuola negli Stati Uniti, un individuo relativo al U.S.. militare, e alcune altre vittime in Medio Oriente e in Asia.
Rete VPN APT33
attori delle minacce spesso usano servizi commerciali VPN nelle loro operazioni, ma la creazione di reti private è anche una cosa. Questo può essere facilmente realizzata affittando un paio di server dal data center internazionali.
Così, Come sono stati i ricercatori in grado di monitorare l'attività?
Anche se le connessioni da reti VPN private ancora provengono da indirizzi IP apparentemente non correlati in tutto il mondo, questo tipo di traffico è in realtà più facile da pista. Una volta che sappiamo che un nodo di uscita viene principalmente utilizzato da un particolare attore, possiamo avere un alto grado di fiducia circa l'attribuzione dei collegamenti che sono fatti dagli indirizzi IP del nodo di uscita. Per esempio, inoltre la somministrazione C&server C da un nodo di uscita VPN privata, un attore potrebbe anche essere facendo ricognizione delle reti di obiettivi.
I ricercatori ritengono inoltre che APT33 probabilmente usa i suoi nodi di uscita VPN esclusivamente. Trend Micro ha tracciato alcuni dei nodi di uscita VPN privati del gruppo per più di un anno, e come risultato, alcuni indirizzi IP relativi a operazioni degli hacker sono stati scoperti.
In aggiunta allo strato VPN, gli hacker stanno utilizzando anche uno strato controllore bot, un comando e controllo backend strato di server utilizzato per gestire botnet di malware, ed uno strato di proxy, o un insieme di server proxy di cloud.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: