Licenças para vários dispositivos (descontos por volume)
Threat Database Malware CHEESETRAY

CHEESETRAY

Por GoldSparrow em Malware
Traduzir Para:
Português

O APT38 (Ameaça persistente avançada) está nas notícias mais uma vez. Este grupo de hackers opera na Coréia do Norte e também é conhecido sob o pseudônimo de Lázaro. Suas atividades criminosas foram tão exageradas que alguns de seus membros são procurados pelo FBI atualmente. A principal motivação do grupo APT38 parece ser o ganho monetário, pois eles tendem a atingir grandes instituições financeiras e bancos em todo o mundo. Acredita-se que este grupo de hackers seja patrocinado diretamente pelo governo norte-coreano, portanto, é provável que eles estejam fazendo o lance de Kim Jong-un.

Permite que os Atacantes Coletem Dados Silenciosamente por Muito Tempo

O grupo de hackers do APT38 tende a demorar um pouco na execução de uma operação. Eles costumavam se infiltrar no alvo e gastar o máximo que podiam sob o radar, enquanto coletavam dados sobre o sistema da vítima. Isso ajuda os atacantes a decidir como exatamente realizar a campanha para que possam alcançar o máximo de resultados. A ferramenta CHEESETRAY é um Trojan backdoor, que faz parte do arsenal do grupo APT38 e permite que seus operadores tenham acesso ao sistema comprometido a longo prazo. Um recurso interessante do malware CHEESETRAY é que ele foi configurado para ter a capacidade de operar no modo ativo ou passivo. A execução no modo ativo ou passivo é determinada pelo sistema em que a ameaça se infiltrou.

Modo Ativo e Modo Passivo

Um backdoor ativo estabeleceria uma conexão com o servidor de C&C (Comando e Controle) dos invasores e começaria a enviar e receber dados imediatamente. No entanto, o lado negativo dessa abordagem é que isso é bastante barulhento, e um aplicativo anti-malware legítimo provavelmente detectará a atividade insegura muito rapidamente. Um backdoor passivo tem uma abordagem muito mais silenciosa. Esse modo permitiria que o backdoor do CHEESETRAY permanecesse inativo e provavelmente evitasse a detecção. A ameaça permanecerá inativa até receber o que é chamado de 'pacote mágico', que é entregue a uma determinada porta de rede. Ao utilizar esse método, o grupo APT38 garante que haja vestígios mínimos restantes de sua atividade ameaçadora.

Recursos

O Trojan backdoor CHEESETRAY permite que seus operadores:

  • Enviem comandos shell remotos.
  • Excluam os arquivos presentes no sistema.
  • Observem as sessões da área de trabalho remota.
  • Plantem seu código corrompido em processos legítimos.
  • Listem processos que estão em execução no sistema.
  • Reúnam dados sobre o sistema de arquivos, como nomes de arquivos e nomes de pastas.
  • Carreguem arquivos no sistema infectado.
  • Baixem arquivos de um URL selecionado.

A atividade do grupo de hackers APT38 provavelmente não cessará tão cedo, por isso continuaremos vendo-os ganhando as manchetes no futuro próximo.

Tendendo

Mais visto

Carregando...