Contopee
Existem vários grupos de hackers de alto perfil em todo o mundo, que causaram danos consideráveis em todo o mundo nos últimos anos. Um deles é o norte-coreano APT38 (Ameaça Persistente Avançada). Seu pão com manteiga são as instituições financeiras. Um dos ataques de alto perfil APT38 foi lançado contra o Banco Central de Bangladesh. Esta campanha rendeu ao APT38 um total de US $ 81.000.000. O APT38 é famoso por sua paciência e furtividade. O APT38 leva o seu tempo quando lança uma campanha e muitas vezes gerencia quase completamente para encobrir toda a sua atividade ameaçadora.
Índice
Provavelmente Trabalhando com o Lazarus
Recentemente, parece que o APT38 adicionou uma nova ferramenta de hackers ao seu arsenal - o Trojan backdoor Contopee. É provável que o APT38 possa ter trabalhado em cooperação com outro grupo hacker norte-coreano chamado Lazarus, já que o Troop Contopee é similar a ferramentas que pertencem ao Lazarus de forma justa. O grupo de hackers Lazarus é mais famoso por seu ataque contra a Sony Entertainment.
Ganhando Persistência e Coletando Informações
O Trojan do Contopee infecta um host e garante a persistência imediatamente. Em seguida, o Trojan de backdoor Contopee estabelece uma conexão com o servidor C&C (Comando & Controle) de seus operadores. Quando isso estiver concluído, essa ameaça começará a coletar informações básicas do sistema, como software instalado, variante do SO, nome de usuário, configurações, etc. Todos os dados coletados serão então transferidos para o servidor C & C dos invasores.
Capacidades
Quando isso é feito, o Trojan de backdoor do Contopee é capaz de:
- Fazer upload de arquivos.
- Baixar arquivos.
- Mover arquivos.
- Executar arquivos.
- Gerenciar os processos em execução.
- Criar pastas.
- Alterar o diretório no qual os arquivos do Trojan estão armazenados.
Pode parecer que o Trojan Contopee não tem uma longa lista de recursos, mas pode causar grandes danos ao host comprometido. É provável que este Trojan seja usado principalmente para espionagem e provavelmente sirva como uma carga útil de primeiro estágio, o que permitiria que os invasores infectassem o host com malware adicional.