Τα τελευταία χρόνια, μια μυστηριώδης hacking ομάδα δημιουργεί trojanized hacking εργαλεία, τα οποία στοχεύουν στη μόλυνση συναδέλφων hackers με σκοπό την απόκτηση πρόσβασης στους υπολογιστές τους.
Σύμφωνα με μια έκθεση της εταιρείας Cybereason, τα trojanized εργαλεία έχουν μολυνθεί με μια έκδοση του njRAT malware, η οποία επέτρεψε στη hacking ομάδα να αποκτήσει πρόσβαση στα συστήματα άλλων hackers.
“Για μένα, φαίνεται ότι κάποιο άτομο ή μια ομάδα ανθρώπων έχει βρει έναν έξυπνο τρόπο για να αποκτήσει πρόσβαση σε περισσότερα μηχανήματα”, δήλωσε ο Amit Serper, στέλεχος της Cybereason.
“Αντί να παραβιάζουν άμεσα τα μηχανήματα, επιλέγουν να μολύνουν τα εργαλεία, να τα κυκλοφορούν δωρεάν και να χακάρουν τους ανθρώπους που τα χρησιμοποιούν”, είπε ο Serper, αναφερόμενος σε μια ήδη γνωστή τακτική, όπου οι hackers κλέβουν τα δεδομένα που έχουν παραβιάσει αντίπαλοι hackers.
Χιλιάδες trojanized hacking εργαλεία κυκλοφορούν εδώ και χρόνια
Ο Serper είπε ότι η ομάδα έρευνας Cybereason Nocturnus εντόπισε πάνω από 1.000 δείγματα του njRAT, αλλά πιστεύει ότι υπάρχουν πολλά άλλα που δεν έχουν ανακαλυφθεί ακόμα.
Trojanized εργαλεία κυκλοφορούν εδώ και πολλά χρόνια, όμως ο Serper λέει ότι η συγκεκριμένη μυστηριώδης hacking ομάδα δημιουργεί και κυκλοφορεί νέες εκδόσεις των εργαλείων σχεδόν καθημερινά.
Σύμφωνα με τη Cybereason, τα backdoored εργαλεία κυκλοφορούν δωρεάν σε hacking φόρουμ και blog. Ορισμένα από τα trojanized apps είναι συνηθισμένα hacking εργαλεία, ενώ άλλα είναι cracks προγράμματα, που επιτρέπουν στους wannabe hackers να χρησιμοποιούν hacking εργαλεία χωρίς να πληρώνουν άδεια.
Τα trojanized εργαλεία που βρήκε η Cybereason, περιλαμβάνουν site scrapers, exploit scanners, Google dork generators, εργαλεία για την πραγματοποίηση αυτόματων SQL μολύνσεων, εργαλεία για brute-force επιθέσεις και εργαλεία για την επαλήθευση της εγκυρότητας των credentials που έχουν διαρρεύσει.
Επιπλέον, η Cybereason βρήκε trojanized εκδόσεις του προγράμματος περιήγησης Chrome.
Σύμφωνα με τον Serper, πολλά από τα trojanized apps συνδέονταν με δύο domains. Το ένα από αυτά, το capeturk.com, έχει καταχωρηθεί με τα credentials ενός Βιετναμέζου πολίτη.
Πολλές φορές, τα στοιχεία σχετικά με τους κατόχους domain είναι παραπλανητικά, ειδικά όταν το domain χρησιμοποιείται σε κακόβουλες εκστρατείες. Ωστόσο, ο Serper είπε ότι πολλά από τα trojanized hacking εργαλεία που μεταφορτώθηκαν στο VirusTotal, προέρχονταν από μια διεύθυνση IP του Βιετνάμ.
Σύμφωνα με τον Serper, η hacking ομάδα φαίνεται ότι δοκιμάζει το ποσοστό ανίχνευσης των κακόβουλων λογισμικών της στο VirusTotal, πριν τα κυκλοφορήσει σε hacking φόρουμ, blogs κλπ.
Η χρήση της βιετναμέζικης IP σε μεταφορτώσεις στο VirusTotal, σε συνδυασμό με τα στοιχεία του domain, είναι ένας ισχυρός δείκτης ότι η συμμορία προέρχεται όντως από το Βιετνάμ.
Παλιά τακτική
Όπως είπαμε και παραπάνω, η τακτική μόλυνσης hacking εργαλείων και η δωρεάν παροχή τους αποτελεί γνωστή τακτική. Πολλοί hackers την έχουν χρησιμοποιήσει στο παρελθόν.
Η τακτική αυτή αποτελεί έναν αρκετά απλό τρόπο απόκτησης πρόσβασης σε παραβιασμένα δεδομένα, χωρίς να χρησιμοποιηθούν άλλες περίπλοκες hacking μέθοδοι. Οι hackers που εξαπλώνουν τα trojanized εργαλεία, αφήνουν τους άλλους hackers να κατεβάσουν τα εργαλεία, περιμένουν μερικές εβδομάδες για να συλλέξουν αρκετά δεδομένα και στη συνέχεια τα κλέβουν, χρησιμοποιώντας ένα backdoor, σε αυτή την περίπτωση το trojan njRAT.
