Dark Caracal APT: Masovni napadi na mobilne uređaje i CrossRAT

Istraživači iz organizacije za zaštitu korisnika na internetu Electronic Frontier Foundation i kompanije Lookout objavili su izvještaj o masovnoj kampanji hakovanja mobilnih uređaja.

Izvještaj opisuje aktivnosti APT (Advanced Persistent Threat) grupe nazvane Dark Caracal. EFF tvrdi da je ova grupa povezana sa državnom bezbjednošću Libana.

Ova kampanja predstavlja prvu uspješnu masivnu kampanju koja je ciljala mobilne uređaje. Dark Carcal grupa je uspjela da ukrade preko stotine gigabajta podataka koji uključuju lične informacije, intelektualnu svojinu kao i 252 000 kontakata, 485 000 tekstualnih poruka i 150 000 zapisa o obavljenim pozivima.

Mete ove kampanje potiču iz 21 države i rasprostranjene su po različitim sektorima koji uključuju: javnu upravu, vojsku, finansijske institucije, infrastrukturu, industriju i medicinu.

Ova APT grupa je u napadima koristila više softverskih rješenja koja uključuju gotove proizvode kao što je ozloglašeni FinFisher, ali i viruse iz svoje proizvodnje kao što je CrossRAT 0.1.

Iako je glavni fokus ove kampanje stavljen na mobilne uređaje napadnut je manji broj desktop računara korišćenjem CrossRAT virusa.

Kod širenja CrossRAT-a ova grupa nije koristila zero day ranjivosti već socijalni inženjering koji je primjenjivan na Facebook grupama i putem WhatsApp poruka.

CrossRAT je napisan u java programskom jeziku i može se pokrenuti na Linux, Windows i Mac računarima. Ovaj virus ima sljedeće mogućnosti: izvršenje proizvoljnog koda, manipulacija fajl sistemom, pravljenje screenshot-a i postavljanje mehanizama perzistencije na računarima.

Indikatori da ste zaraženi sa CrossRAT:

• Windows  – Postojanje registry ključa na lokaciji HKCUSoftwareMicrosoftWindowsCurrentVersionRun koji sadrži mediamgrs.jar.
• macOS – postojanje mediamgrs.jar datoteke  na lokaciji  ~/Library.
• Linux – postojanje  mediamgrs.jar datoteke  na lokaciji /usr/var.

 

Izvor:thehackernews.com