GreezeBackdoor

O APT37, um grupo que se acredita ter sido apoiado pelo governo da Coréia do Norte, está usando mais uma arma contra usuários de computadores localizados naquele país. Desta vez, é um backdoor que ataca especificamente dispositivos Android e é apelidado de GreezeBackdoor. O objetivo do GreezeBackdoor é coletar dados de dispositivos conectados à máquina infectada através do Bluetooth usando a API Bluetooth do Windows. O método preferido usado pelo APT37 para introduzir suas ameaças nos dispositivos de destino é usando vulnerabilidades não corrigidas. Para entregar o GreezeBackdoor, eles usaram o exploit CVE-2018-8120 ou uma tecnologia chamada UACME para passar. Depois disso, ele executa um instalador que gera um downloader que coleta a carga de fechamento, que é ocultada em um arquivo de imagem. Depois disso, os atacantes podem começar a coletar dados, executar comandos e até mesmo outras ferramentas. O GreezeBackdoor também está vinculado ao DarkHotel, que é uma campanha para distribuir malware e spywares de spear phishing para clientes de hotéis-alvo por meio da rede Wi-Fi fornecida aos clientes. A principal função do GreezeBackdoor é coletar dispositivos e usar uma infecção de malware binária em vários estágios para atualizar seus módulos e evitar a detecção.

O foco principal do APT37 é a Coréia do Norte. No entanto, está atacando entidades de vários países, desde que tenham uma conexão comercial com a Coréia do Norte. Portanto, ninguém está a salvo dos ataques viciosos do APT37. Para evitar ataques como usuários de computadores particulares GreezeBackdoor e administradores de rede precisam cuidar bem de suas máquinas, fornecendo-lhes fortes medidas de segurança, que um dos mais eficazes é o software de segurança atualizado.