Hoardy

Trojan Hoardy backdoor jest zagrożeniem stosowanym w kilku atakach wymierzonych w znane osoby. Trojan ten tworzy grupę hakerską zwaną grupą Flea, a jej najbardziej niesławna kampania odbyła się tuż przed szczytem G20 w 2014 r. I była skierowana do wysokiej rangi polityków. Od tego czasu trojan backdoor Hoardy był wykorzystywany w kilku innych podejrzanych operacjach. Zwykle kampanie hakerskie wykorzystujące backdoora Hoardy nie trwają zbyt długo, co doprowadziło ekspertów do przekonania, że celem atakujących jest prawdopodobnie zdobycie jak największej ilości informacji i zaprzestanie operacji pod radarem ofiary .

Metoda rozmnażania

Aby rozprzestrzeniać trojana backdoor Hoardy, grupa hakerska Flea używa wiadomości phishingowych, które dostosowały tak, aby wyglądały jak najbardziej uzasadnione. Cel otrzyma wiadomość e-mail zawierającą uszkodzony, makropołączony załącznik zamaskowany jako nieszkodliwy dokument pakietu Microsoft Office. Użytkownicy zostaną poproszeni o uruchomienie załączonego pliku, a jeśli ulegną, skrypt makr ukryty w dokumencie umieści trojana backdoor Hoardy w docelowym systemie.

Możliwości

Trojan Hoardy zapewnia uporczywość na zainfekowanym komputerze poprzez manipulowanie systemem rejestru Windows, który zapewni, że zagrożenie zostanie uruchomione natychmiast po uruchomieniu komputera. Następnie trojan Hoardy nawiąże połączenie z serwerem C&C (Command & Control) operatora. Trojan Hoardy backdoor został zaprogramowany do gromadzenia podstawowych danych dotyczących zaatakowanego systemu, a następnie eksfiltracji zebranych informacji na serwer C&C atakujących. Trojan backdoor Hoardy może:

• Wykonuj zdalne polecenia na zainfekowanym komputerze.
• Przesyłaj i uruchamiaj pliki z serwera C&C jego operatorów.
• Pobierz i uruchom pliki z określonego adresu URL.
• Zaktualizuj się.
• Usuń się.

Pomimo głośnych celów, do których dąży grupa hakerska Pchła, trojan backdoor Hoardy nie jest imponujący pod względem funkcjonalności. Autorzy trojana Hoardy nie poświęcili wiele uwagi ani wysiłku zaciemnianiu kodu ich stworzenia, a tym samym ułatwili badaczom szkodliwego oprogramowania badanie i analizę tego zagrożenia.