BS2005
Em 2013, o grupo de hackers chinês APT15 (Ameaça Persistente Avançada), também conhecido como Ke3chang, lançou uma série de ataques contra vários órgãos do governo europeu. Uma das ferramentas de hacking empregadas nessas campanhas foi o Trojan backdoor BS2005. Recentemente, especialistas em segurança cibernética se depararam com a variante atualizada do BS2005, que agora é chamada TidePool. Esta versão nova e aprimorada do BS2005 possui uma lista de recursos otimizada, dentre os quais uma atualização na sua capacidade de detectar software usado na depuração de malware.
Índice
Propagação por Email de Phishing
De 2011 a 2013, o grupo de hackers Ke3chang contou com o Trojan backdoor BS2005 na maioria de suas campanhas. Seu método preferido de propagação era via e-mails de phishing, que seriam personalizados de acordo com os interesses do usuário alvo. Alguns eram sobre a presença das forças armadas dos Estados Unidos no Oriente Médio, principalmente na Síria, enquanto outros eram menos políticos e continham informações sobre os Jogos Olímpicos de Londres. Esses e-mails de phishing normalmente contêm um anexo infectado, que carrega a carga útil do Trojan BS2005.
Encerra os Processos do Navegador Maxthon
O Trojan BS2005 tem algum comportamento interessante. Por exemplo, o Trojan BS2005 é capaz de detectar a presença de uma ferramenta anti-malware, popular na China e encerrar seus processos. Além disso, esse Trojan backdoor garantiria o desligamento de todos os processos que estão sendo usados pelo navegador da Web Maxthon. Não parecia fazer sentido encerrar o processo do navegador Maxthon, mas os pesquisadores logo perceberam que o malware usa uma técnica peculiar para se comunicar com o servidor de controle - ele invoca uma instância da interface COM IWebBrowser. Se isso acontecer enquanto o navegador Maxthon estiver aberto, ele carregará uma nova guia e o endereço do sistema do invasor.
Recursos Desatualizados de Auto-Preservação
O backdoor BS2005 possui alguns recursos de autopreservação, como a capacidade de detectar ambientes sandbox. No entanto, o método usado não é muito eficiente, pois é bastante desatualizado, e os ambientes de sandbox mais sofisticados provavelmente poderiam permanecer sob o radar do Trojan BS2005.
Coleta Dados e pode Servir como uma Carga Útil de Primeiro Estágio
O Trojan BS2005 não perderá tempo depois de se infiltrar em um sistema e estabelecer uma conexão com o servidor C&C (Comando e Controle) dos atacantes. Então, o Trojan BS2005 começará a transferir informações sobre o sistema para o servidor do invasor, como configurações de rede, nome de usuário, aplicativos instalados, versão do sistema operacional etc. O BS2005 é capaz de arquivar arquivos escolhidos e enviá-los para o servidor de seus operadores. O fato de o Trojan BS2005 ser capaz de executar comandos remotos o torna muito mais ameaçador do que parece à primeira vista, pois isso significa que os invasores podem usá-lo como uma carga útil de primeiro estágio, o que permitiria a instalação de malware adicional no sistema. máquina comprometida.
Desde 2016, o grupo de hackers Ke3chang voltou a estar ativo e os pesquisadores de malware perceberam que introduziram grandes melhorias em seu arsenal. Além disso, seu alcance se expandiu e eles foram flagrados lançando operações contra alvos na Europa e no Oriente Médio.
