CORALDECK
O governo norte-coreano é conhecido por usar os serviços de hackers. Recentemente, além do conhecido grupo de hackers Lazarus, surgiu um novo ator, o ScarCruft APT (Ameaça Persistente Avançada). Esse grupo de hackers também é conhecido como APT37. Eles parecem visar principalmente sul-coreanos de alto escalão. No entanto, pesquisadores de malware detectaram campanhas do APT31 no Oriente Médio, assim como no Vietnã e no Japão. É provável que o grupo de hackers ScarCruft tenha começado a operar em 2015.
Índice
Preferência por Furtividade
O grupo ScarCruft tende a prestar atenção especial à furtividade nas suas operações. Outro componente de assinatura das operações do APT37 é a coleta de informações importantes do host. Uma de suas principais ferramentas que o grupo de hackers usa para coletar dados é o malware CORALDECK. A primeira campanha envolvendo a ferramenta CORALDECK foi lançada nos primeiros meses de 2016 e conseguiu manter seus níveis mais altos de atividade por mais de quatro meses.
Tem como Alvo Tipos de Arquivos Específicos e Nomes de Arquivos
A ameaça CORALDECK pode ser classificada como infostealer. Esse infostealer não é uma ameaça muito complexa e o grupo de hackers ScarCruft tende a usá-la em uníssono com outras ferramentas de hackers para obter a máxima eficiência. O infostealer CORALDECK foi adaptado para procurar tipos de arquivos distintos ou arquivos com nomes específicos. Essa é uma abordagem bastante diferente, pois a maioria das ferramentas de identificação de informações visa informações confidenciais, tais como detalhes de cartão de crédito e credenciais de login. O método usado pelo grupo APT37 leva os pesquisadores de malware a acreditar que os invasores examinam os arquivos no sistema, escolhem quais gostariam de obter e usam a ferramenta CORALDECK para obter os dados direcionados.
Arquiva os Dados Coletados
Durante um ataque, uma solicitação HTTP POST é emitida para o servidor do invasor, o que permite que o infostealer do CORALDECK colete as informações de interesse usando uma técnica de extração codificada. Depois que a ameaça conseguir recuperar os dados de destino, ela os arquivará em um arquivo .RAR ou .ZIP, protegido por uma senha. O CORALDECK também é conhecido por transportar um executável do software portátil de arquivamento WinRAR.
O grande arsenal de ferramentas de hackers e suas campanhas voltadas para figuras de alto nível colocaram o ScarCruft APT no mapa. O fato de o APT37 ser financiado pelo governo norte-coreano deve preocupar os governos em todo o mundo, pois esse grupo de hackers ganha cada vez mais força a cada dia.
