MILKDROP

Um grupo de hackers da Coréia do Norte vem ganhando as manchetes recentemente. Eles são conhecidos como ScarCruft ou APT37 (Ameaça persistente avançada). Especialistas em segurança cibernética acreditam que o grupo ScarCruft é financiado diretamente pelo governo de Kim Jong-Un e é usado por eles para realizar ataques de hackers que servem para promover os interesses norte-coreanos. A maioria das campanhas do APT37 ocorre na Coréia do Sul e tem como alvo indivíduos de alto escalão. O grupo ScarCruft possui uma ampla gama de ferramentas de hackers que continuam se expandindo. Entre eles está o Trojan backdoor MILKDROP.

Os Recursos do MILKDROP

O Trojan MILKDROP não possui uma lista particularmente longa de recursos, mas é uma ameaça, que opera muito silenciosamente. Uma vez que este Trojan de backdoor tenha acesso ao sistema do alvo, ele ganhará persistência ao violar o Registro do Windows. Isso permitiria que o MILKDROP funcionasse sempre que a vítima reiniciar o computador. Em seguida, a ameaça estabelecerá uma conexão com o servidor C&C do grupo de hackers ScarCruft. O Trojan backdoor do MILKDROP recebe comandos do servidor C&C dos atacantes. Este Trojan é capaz de coletar informações sobre o sistema comprometido (dados referentes ao hardware e software do host) e transferi-lo para o servidor de seus operadores. No entanto, o principal objetivo do MILKDROP backdoor Trojan é servir como um gateway para malware mais ameaçador, que será plantado no sistema adicionalmente. Os pesquisadores de malware foram capazes de dissecar essa ameaça sem problemas, pois o Trojan MILKDROP não é capaz de detectar se está sendo executado em um ambiente sandbox.

O arsenal dos hackers do grupo APT37 está crescendo e parece que o dinheiro gasto pelo governo norte-coreano está valendo a pena. Se o APT37 continuar melhorando nesse ritmo, em breve eles estarão nos níveis do notório grupo de hackers norte-coreano conhecido como Lazarus.