Backdoor.Hartip

O Backdoor.Hartip é uma cepa nunca antes vista de malware de backdoor. A ameaça foi observada pela primeira vez pelos pesquisadores da Infosec como parte de uma longa campanha de ataque focada principalmente em infectar empresas japonesas e suas subsidiárias em todo o mundo. A escala total da campanha e a sofisticação exibida na cadeia de ataque apontam para os culpados sendo um grupo de hackers de Ameaça Persistente Avançada (APT). Aliado a vários outros vínculos circunstanciais, levou os pesquisadores a atribuir o ataque ao grupo Cicada.

Segundo o governo dos EUA, as operações realizadas pela Cicada são patrocinadas pela China. O mesmo grupo também pode ser encontrado sob os nomes APT10, Stone Panda e Cloud Hopper. No passado, realizou vários ataques contra entidades japonesas. A operação atual abrange uma ampla gama de setores da indústria, incluindo os setores automotivo, farmacêutico e de engenharia. Historicamente, a Cicada tem conduzido operações de espionagem corporativa e roubo de dados, e esta última campanha não é diferente.

No entanto, os hackers também lançaram alguns novos truques ameaçadores junto com seus métodos e ferramentas usuais. Primeiro, eles começaram a explorar uma vulnerabilidade NetLogon ameaçadora chamada ZeroLogon. Este exploit recebeu o identificador CVE-2020-1472 e uma classificação de severidade de 10. Embora a Microsoft tenha corrigido isso em agosto, o número de organizações que pode ter atrasado a atualização de seus sistemas permanece significativo.