KOMPROGO
KOMPROGO é uma ameaça de malware que foi ligada ao APT32 ou OceanLotus, um grupo criminoso de Ameaça Persistente Avançada que opera principalmente no Sudeste Asiático. Esse grupo usou malware como o KOMPROGO para atingir organizações governamentais, jornalistas e corporações nessa parte do mundo. O KOMPROGO é apenas uma das muitas ameaças de malware e ferramentas de hacking que esse grupo usa para realizar seus ataques. O KOMPROGO funciona como um Trojan de backdoor especificamente, que é projetado para permitir que os criminosos obtenham acesso ao dispositivo comprometido automaticamente. A KOMPROGO foi usada em operações em 2016 e 2017 extensivamente em negócios no sudeste asiático, particularmente.
Índice
OceanLotus é o APA Responsável pelos Ataques do KOMPROGO
O APT responsável pela KOMPROGO tem visado inúmeras indústrias e indivíduos nos últimos anos no Sudeste Asiático. Este grupo criminoso usa uma coleção exclusiva de malware que eles desenvolveram junto com ferramentas de hackers que estão disponíveis comercialmente para realizar seus ataques. Os ataques OceanLotus parecem ter mais interesses políticos e econômicos do Vietnã, e é muito provável que o OceanLotus seja um grupo patrocinado pelo estado, realizando ataques no interesse do governo vietnamita. Por causa disso, parece que o objetivo principal da KOMPROGO é para operações de espionagem. Os usuários de computador devem garantir que seus softwares de segurança estejam sempre atualizados e capazes de detectar o KOMPROGO e ameaças semelhantes usadas pelo OceanLotus. A maioria dos softwares de segurança foi atualizada desde 2017 para interceptar ataques que foram vinculados a esse grupo. O ataque mais recente associado à KOMPROGO e OceanLotus foi realizado contra corporações filipinas e americanas que operam no Vietnã, provavelmente como parte de negociações comerciais e operações de espionagem industrial em nome dos interesses do governo vietnamita.
Como o KOMPROGO Realiza o Seu Ataque
O KOMPROGO pode ser entregue a um computador de várias maneiras, sendo as mais comuns o uso de mensagens de e-mail de spear phishing, e-mails criados para enganar a vítima e clicar em um link ou acessar um arquivo anexado. Uma vez que o KOMPROGO tenha comprometido um dispositivo, ele fará alterações no Registro do Windows para alcançar a persistência, permitindo que o KOMPROGO seja executado automaticamente quando o sistema de computador da vítima for iniciado. O KOMPROGO tentará detectar se o KOMPROGO foi instalado em uma caixa de areia ou em um ambiente virtual (como aqueles usados por pesquisadores de segurança do PC para estudar malware) e, em caso afirmativo, se excluirá e interromperá o ataque. Uma vez instalado, o KOMPROGO se conectará a um servidor de Comando e Controle e receberá informações de seus controladores e retransmitirá informações sobre o dispositivo infectado.
Os Recursos Ameaçadores do KOMPROGO
O KOMPROGO Trojan é uma ameaça de malware focada, sem muitos recursos, mas capaz de realizar seu ataque na maioria dos casos com sucesso. O KOMPROGO foi criado para ser o primeiro estágio de campanhas de malware com múltiplos estágios, projetado para se infiltrar e comprometer o dispositivo da vítima de várias maneiras diferentes. KOMPROGO estabelece um backdoor no dispositivo infectado. Isso permite que o KOMPROGO gerencie arquivos, processos e entradas do Registro do Windows, que podem ser usados para manipular dados no dispositivo infectado. O KOMPROGO também permite que os invasores executem comandos no dispositivo infectado e transfiram arquivos, que podem ser usados para fazer upload de outro malware ou fazer download de dados confidenciais do dispositivo infectado. A KOMPROGO transmitirá informações sobre o dispositivo infectado para os invasores, que poderão ser usados para realizar o próximo estágio da campanha de malware. O KOMPROGO é projetado para infectar computadores que executam o sistema operacional Windows, mas uma variante do KOMPROGO projetada para visar dispositivos OSX está em desenvolvimento.
