Energetic Bear

Energetic Bear Descrição

O Energetic Bear é um grupo de hackers considerado um APT (Ameaça Persistente Avançada). Esse grupo de hackers também é conhecido sob outros dois pseudônimos - Crouching Yeti e Dragonfly. O Energetic Bear tende a ter como alvo o pessoal de alto escalão no setor industrial, bem como no setor de energia. O grupo Energetic Bear geralmente muda sua região de preferência ao longo do tempo. Em geral, a maioria de suas metas está concentrada nos EUA e na Europa, mas em 2016 e 2017, a maioria de seus esforços está concentrada na Turquia.

A Maioria dos Alvos Operam nos Setores Industrial e de Energia

O Energetic Bear tende a usar uma ampla variedade de técnicas ofensivas, juntamente com métodos altamente criativos de entregar seu malware aos alvos pretendidos. É comum a Energetic Bear comprometer um servidor e transformá-lo em um host corrompido, que propagaria código executável para ser executado nos sistemas dos usuários que visitam o site comprometido. Isso também é conhecido como um ataque de watering hole. Outra técnica de ataque usada pela Energetic Bear está usando sistemas comprometidos como parte da sua infraestrutura de C&C (Comando e Controle). Esses dispositivos seqüestrados são utilizados para descarregar dados e logs coletados.

Ferramentas usadas pelo Energetic Bear

O grupo Energetic Bear emprega uma lista de soluções de software publicamente disponíveis:

  • Subbruto.
  • Impacket.
  • PHPMailer.
  • Commix.
  • Wpscan.
  • Sublist3r.
  • Sqlmap.
  • Nmap.
  • SMBTrap.
  • Dirsearch.

O grupo Energetic Bear usa o aplicativo Wpscan para detectar possíveis vulnerabilidades, que podem estar presentes em sites remotos do WordPress. Para localizar quaisquer dados no protocolo SMB, o grupo de hackers emprega a ferramenta SMBTrap. O mesmo aplicativo pode ser usado para coletar o hash NTML da senha da vítima. Se forem bem-sucedidos nesse empreendimento, os atacantes poderão executar ataques pass-has-hash posteriormente.

O Energétic Bear Usa PHP eShells nas Suas Campanhas

Quando o Energetic Bear consegue comprometer um host, eles podem plantar Web shells específicos (PHP) neles, desde que o sistema esteja conectado à Internet. O principal objetivo desses shells PHP é permitir que seus operadores executem comandos remotos na máquina infectada. Isso permite que os atacantes obtenham controle quase completo sobre o sistema comprometido. Ao estudar um arquivo PHP vinculado às operações do Energetic Bear, os pesquisadores de segurança cibernética descobriram que os invasores provavelmente estão usando campanhas de email de phishing para propagar malware.

Os especialistas em malware consideram o grupo Energetic Bear bastante intrigante porque, em vez de criar malware ou comprar ferramentas de hackers prontamente disponíveis, esses indivíduos optaram por confiar em software legítimo para suas campanhas ameaçadoras.

Do You Suspect Your Computer May Be Infected with Energetic Bear & Other Threats? Scan Your Computer with SpyHunter

SpyHunter is a powerful malware remediation and protection tool designed to help provide users with in-depth system security analysis, detection and removal of a wide range of threats like Energetic Bear as well as a one-on-one tech support service. Download SpyHunter's FREE Malware Remover*

Deixar uma Resposta

Por favor NÃO utilize este sistema de comentários para perguntas sobre pagamentos e suporte. Para solicitações de suporte técnico do SpyHunter, entre em contato diretamente com a nossa equipe de suporte técnico, abrindo um ticket de suporte ao cliente através do seu SpyHunter. Para problemas com pagamento, por favor acesse a página "Problemas ou Perguntas referentes ao Pagamento". Para solicitações genéricas (reclamaçōes, questōes legais, imprensa, marketing, direitos autorais) visite a nossa página "Perguntas e Comentários"