Ketrum Backdoor

O grupo de hackers Ke3chang é um APT (Ameaça Persistente Avançada) originário da China. É provável que o Ke3chang APT seja patrocinado pelo governo chinês e seja usado para realizar ataques cibernéticos em seu nome. Sabe-se que o grupo de hackers Ke3chang realizou várias operações de alto nível que visavam órgãos governamentais estrangeiros, organizações empresariais, missões diplomáticas e outros. Duas das ferramentas de hackers mais populares no arsenal do grupo Ke3chang são chamadas Ketrican e Okrum. Recentemente, os pesquisadores de malware descobriram uma nova ameaça, que parece ser um híbrido entre as ferramentas Ketrican e Okrum. Este novo malware foi nomeado o Ketrum Backdoor adequadamente.

O Ketrum Backdoor é um utilitário bastante minimalista, assim como a maioria das ferramentas de hackers criadas pelo grupo Ke3chang. Algumas cópias da ameaça parecem ter vários dos recursos removidos - isso permite que o Ketrum Backdoor seja muito furtivo e evite a detecção. Pesquisadores de malware avistaram as primeiras cópias do Ketrum Backdoor em janeiro de 2020. Essas variantes iniciais da ameaça foram conectadas a um servidor localizado na China, que não está mais operacional.

O Ketrum Backdoor é capaz de:

• Fazer o upload de arquivos.
• Executar arquivos.
• Baixar arquivos da Web.
• Utilizar o serviço Windows PowerShell.
• Executar comandos remotos no host.
• Executar um 'modo de suspensão', que desativa a ameaça por um período determinado.

A maioria das ferramentas de hackers criadas pelo Ke3chang APT pode capturar imagens da área de trabalho e das janelas ativas do sistema infectado. No entanto, o Ketrum Backdoor não é capaz de fazê-lo. É provável que o Ke3chang APT esteja propagando o Ketrum Backdoor por e-mails de phishing que induzam os usuários a iniciar um anexo infectado.