DOGCALL

Há um ator emergente de alto nível na Coréia do Norte, o grupo de hackers ScarCruft. Esse grupo de indivíduos também é conhecido como APT37 (Ameaça persistente avançada). Os pesquisadores de segurança cibernética acreditam que o grupo ScarCruft provavelmente está sendo financiado diretamente pelo governo norte-coreano e está sendo usado como uma arma contra governos e autoridades estrangeiros. A maioria dos alvos do APT37 parece ser indivíduos sul-coreanos em posições de importância ou poder. O grupo de hackers ScarCruft possui uma longa lista de ferramentas de hackers, entre as quais o Trojan backdoor DOGCALL. A primeira campanha em que o Trojan DOGCALL foi utilizado ocorreu em agosto de 2016.

Instituições Militares e Governamentais Visadas na Coréia do Sul

Em 2017, o APT37 lançou uma operação visando órgãos governamentais e instituições militares localizadas na Coréia do Sul. Uma das ferramentas usadas nesta infame campanha é o Trojan backdoor DOGCALL. O método de propagação empregado pelos atacantes eram emails de spam que continham um documento falso do Microsoft Office anexado a eles. A carga útil do Trojan DOGCALL seria executada assim que o segmento do código oculto ocultasse a descriptografia.

Recursos

O grupo de hackers ScarCruft é conhecido por sua preferência em furtividade em vez de força bruta. O Trojan DOGCALL não se afasta desse método preferido pelo APT37; ele deve se infiltrar no host e operar no ponto mais baixo, permitindo que os invasores tenham acesso silencioso ao sistema por um período prolongado. O Trojan backdoor DOGCALL é capaz de:

• Executar um módulo de registro de chaves.
• Tirar screenshots de abas abertas e a área de trabalho da vítima.
• Executar comandos remotos.

O Trojan DOGCALL é capaz de detectar se está sendo executado em um ambiente de depuração de malware, o que torna o trabalho dos pesquisadores de malware mais difícil, mas não impossível. Sabe-se que o APT37 usou outra ferramenta de hackers em combinação com o Trojan DOGCALL, o limpador RUHAPPY.

Por um tempo, o único grupo de hacker conhecido da Coréia do Norte foi o Lázaro. No entanto, o ScarCruft APT vem ganhando as manchetes recentemente, e o fato do governo norte-coreano os financiar é suficiente para que se perceba que esse ator malicioso estará por aí por um tempo.