Chches
O ChChes é um Trojan que está ligado ao Stone Panda, um conhecido APT (Advanced Persistent Threat) que parece operar com o patrocínio e financiamento do governo chinês. Os pesquisadores de segurança do PC suspeitam dessa conexão do governo em grande parte devido aos alvos de ataques ChChes e outras campanhas de malware realizadas pela Stone Panda, que visam empresas e governos de uma forma que se alinha com os interesses chineses. Os analistas de malware observaram inúmeros ataques deste grupo contra alvos japoneses, com alguns dos primeiros registrados em 2014. Há muitas ameaças de malware e ferramentas de hacking que são usadas por esse grupo de hackers, que incluem RATs (Cavalos de Tróia de Acesso Remoto) e Trojans de backdoor. O ChChes é uma das várias ferramentas que esse grupo usa para realizar seus ataques, um cavalo de Troia de backdoor usado para obter acesso não autorizado ao dispositivo do alvo.
Índice
O ChChes foi Usado contra uma Empresa Farmacêutica no Japão
Um dos ataques mais recentes envolvendo o Stone Panda e o ChChes foi lançado contra uma empresa japonesa. ChChes foi usado para este ataque. O ChChes foi identificado como um Trojan de backdoor personalizado desenvolvido pela Stone Panda para seus próprios ataques. ChChes não contém código de outros Trojans conhecidos, e é provável que tenha sido criado para uso exclusivo deste APT. O ChChes está sendo usado apenas em ataques contra alvos de alto perfil como parte das campanhas de espionagem da Stone Panda atualmente.
Como os Ataques do ChChes são Realizados
Ameaças como o ChChes são entregues através do uso de mensagens de e-mail de phishing. Estes são projetados para enganar as vítimas para abrir um anexo de arquivo e são criadas para enganar a vítima a acreditar que o email é de uma fonte legítima, especialmente. Para conseguir isso, os invasores incluem informações pessoais sobre o destinatário e falsificam os endereços de e-mail para que pareçam vir de dentro de uma empresa ou organização. O e-mail usado para entregar ChChes contém um documento com scripts de macros embutidos que baixam e instalam ChChes no dispositivo da vítima. Depois que o ChChes iniciar seu ataque, ele armazenará seus dados no diretório TEMP e coletará as seguintes informações básicas sobre o dispositivo infectado:
Nome de usuário
Versão do Windows
Identificador de processo
O ChChes estabelecerá uma conexão com seu servidor de Comando e Controle e entregará essas informações aos invasores, que geralmente podem ser usados para realizar um próximo estágio eficaz do ataque, se o dispositivo infectado for atraente para os que executam o ataque. O ChChes é capaz de permitir que os invasores façam upload de dados para o dispositivo infectado, o que pode ser usado para instalar outro malware. O ChChes também pode ser usado para baixar arquivos do dispositivo infectado, o que é crucial na operação de espionagem. Usando o ChChes, os criminosos também podem executar comandos shell para realizar algumas operações básicas no dispositivo infectado e carregar outros módulos que podem ser integrados ao ChChes para adicionar mais funcionalidades a esse Trojan de backdoor.
O ChChes é Provavelmente Parte de um Ataque com Vários Estágios
O ataque envolvendo ChChes parece ter vários estágios. Uma razão pela qual isso é muito óbvio é que o ChChes não alcança a persistência, um aspecto básico da maioria dos ataques de malware. A persistência permite que uma ameaça de malware seja iniciada sempre que o dispositivo infectado for reinicializado. Como o ChChes não faz isso, está claro que os invasores não têm intenção de permitir que o ChChes permaneça no dispositivo por um longo período e estão usando o ChChes como o primeiro estágio de um ataque para entregar outros componentes de malware (provavelmente um RAT ou Trojan de Acesso Remoto).
