CHEESETRAY
O APT38 (Ameaça persistente avançada) está nas notícias mais uma vez. Este grupo de hackers opera na Coréia do Norte e também é conhecido sob o pseudônimo de Lázaro. Suas atividades criminosas foram tão exageradas que alguns de seus membros são procurados pelo FBI atualmente. A principal motivação do grupo APT38 parece ser o ganho monetário, pois eles tendem a atingir grandes instituições financeiras e bancos em todo o mundo. Acredita-se que este grupo de hackers seja patrocinado diretamente pelo governo norte-coreano, portanto, é provável que eles estejam fazendo o lance de Kim Jong-un.
Índice
Permite que os Atacantes Coletem Dados Silenciosamente por Muito Tempo
O grupo de hackers do APT38 tende a demorar um pouco na execução de uma operação. Eles costumavam se infiltrar no alvo e gastar o máximo que podiam sob o radar, enquanto coletavam dados sobre o sistema da vítima. Isso ajuda os atacantes a decidir como exatamente realizar a campanha para que possam alcançar o máximo de resultados. A ferramenta CHEESETRAY é um Trojan backdoor, que faz parte do arsenal do grupo APT38 e permite que seus operadores tenham acesso ao sistema comprometido a longo prazo. Um recurso interessante do malware CHEESETRAY é que ele foi configurado para ter a capacidade de operar no modo ativo ou passivo. A execução no modo ativo ou passivo é determinada pelo sistema em que a ameaça se infiltrou.
Modo Ativo e Modo Passivo
Um backdoor ativo estabeleceria uma conexão com o servidor de C&C (Comando e Controle) dos invasores e começaria a enviar e receber dados imediatamente. No entanto, o lado negativo dessa abordagem é que isso é bastante barulhento, e um aplicativo anti-malware legítimo provavelmente detectará a atividade insegura muito rapidamente. Um backdoor passivo tem uma abordagem muito mais silenciosa. Esse modo permitiria que o backdoor do CHEESETRAY permanecesse inativo e provavelmente evitasse a detecção. A ameaça permanecerá inativa até receber o que é chamado de 'pacote mágico', que é entregue a uma determinada porta de rede. Ao utilizar esse método, o grupo APT38 garante que haja vestígios mínimos restantes de sua atividade ameaçadora.
Recursos
O Trojan backdoor CHEESETRAY permite que seus operadores:
- Enviem comandos shell remotos.
- Excluam os arquivos presentes no sistema.
- Observem as sessões da área de trabalho remota.
- Plantem seu código corrompido em processos legítimos.
- Listem processos que estão em execução no sistema.
- Reúnam dados sobre o sistema de arquivos, como nomes de arquivos e nomes de pastas.
- Carreguem arquivos no sistema infectado.
- Baixem arquivos de um URL selecionado.
A atividade do grupo de hackers APT38 provavelmente não cessará tão cedo, por isso continuaremos vendo-os ganhando as manchetes no futuro próximo.