Malware HIsoka

O Malware Hisoka é uma ameaça de backdoor implantada em duas campanhas de ataque separadas, visando empresas de transporte e transporte do Kuwait. Os atores da ameaça usaram o Hisoka junto com várias outras ameaças de malware personalizadas. Os hackers batizaram suas ferramentas em homenagem a personagens da popular série de mangá e anime 'Hunter x Hunter' - Sakaboto, Hisoka, Gon, Killua e Netero.

A primeira vez que o Malware Hisoka foi detectado foi quando o malware foi colocado em um computador pertencente a uma organização que trabalhava no setor de transporte e remessa do Kuwait. O binário corrompido foi denominado 'inetinfo.sys' e carregava uma variante Hisoka versão 0.8. Por meio de Hisoka, os agentes de ameaças implantaram duas ferramentas de malware adicionais rapidamente - Gon e EYE. Gon é um backdoor potente que permite aos hackers fazer upload e download de dados, executar comandos, abrir conexões de protocolo de área de trabalho remota (RDP), fazer capturas de tela, verificar portas abertas, etc. Por outro lado, EYE é uma ferramenta de limpeza para quaisquer conexões RDP feitas pelos criminosos, pois pode eliminar os processos associados e raspar quaisquer artefatos de identificação adicionais. A versão 0.8 do Malware Hisoka comunicou-se com sua infraestrutura de comando e controle (C2, C&C) por meio de túnel HTTP e DNS.

O Hisoka Assume uma Abordagem Modular

Em uma campanha contra outra organização do Kuwait do mesmo setor da indústria, os pesquisadores da infosec detectaram uma nova versão do Hisoka sendo usada. A versão 0.9 foi descartada como um arquivo chamado 'netiso.sys.' Em comparação com as iterações anteriores do malware, esta nova versão mostrou uma mudança na mentalidade dos criminosos. Em vez de agrupar todas as funcionalidades prejudiciais em uma única ameaça, eles agora estavam tentando adotar uma abordagem mais modular, removendo certas funcionalidades do Hisoka e empacotando-as em uma ameaça de malware autônoma chamada Netero. A nova ferramenta está embutida no Hisoka como um recurso chamado 'msdtd' e pode ser iniciada se houver necessidade. Ao delegar certos aspectos a ferramentas diferentes, os hackers podem tentar minimizar sua pegada na máquina comprometida e dificultar a detecção de sua ferramenta.

A versão 0.9 também apresentou uma gama expandida de canais de comunicação com os servidores C2 com a inclusão de um recurso baseado em e-mail. Para que este método funcione, Hisoka explora Exchange Web Services (EWS) e credenciais indevidamente para criar e-mails salvos na pasta 'Rascunhos'. Para comandos de entrada, a ameaça de malware verifica e-mails com o assunto 'Projeto'. Paralelamente, a comunicação sainte é feita através de emails com o assunto 'Presente'. O corpo do e-mail de saída contém uma mensagem criptografada e um arquivo pode ser anexado se o comando 'upload_file' apropriado tiver sido recebido.