Evora

A ameaça Evora é uma ferramenta usada pelo grupo de hackers Thrip. Essa ferramenta é um backdoor que foi utilizado como uma carga útil de primeiro estágio, destinada a ajudar os invasores a plantar malware adicional principalmente no sistema comprometido. Seus criadores, o Thrip APT (Ameaça Persistente Avançada), concentram-se em perseguir grandes empresas que atuam principalmente nos setores de saúde e militar. No entanto, eles também tendem a visar negócios também nos setores de mídia e telecomunicações. O objetivo do grupo de hackers Thrip é espionagem, especialmente - eles coletam informações confidenciais de grandes corporações.

O Thrip APT surgiu pela primeira vez em 2012, mas não chamou a atenção dos analistas de malware até 2018. Quando os pesquisadores de segurança cibernética começaram a estudar esse grupo de hackers, descobriram mais sobre o seu arsenal de ferramentas e infraestrutura, bem como seus alvos preferidos. O backdoor do Evora foi utilizado em várias campanhas de reconhecimento realizadas pelo grupo de hackers Thrip. No entanto, os cibercriminosos lançaram uma nova e atualizada variante da ameaça chamada Sagerunex. Ambas as ameaças são muito parecidas entre si, mas o backdoor Sagerunex tornou obsoleto o malware Evora.

A ameaça Evora provavelmente foi implantada durante o primeiro estágio da campanha dos hackers. Assim que o backdoor do Evora comprometer o host visado com sucesso, o Thrip APT o utilizará para plantar uma carga útil de segundo estágio no sistema infectado. É provável que os hackers tenham usado essa ameaça para plantar infostealers, tais como o malware Catchamas, que coletaria dados confidenciais do host comprometido e os filtraria para o servidor de C&C (Comando & Controle) do Thrip APT.

O Thrip APT não é conhecido por desenvolver ferramentas sofisticadas de hackers, mas as ameaças que ele possui em seu arsenal são capazes de causar danos significativos aos seus alvos.