NavRAT
O APT37 (Ameaça Persistente Avançada) é um grupo de hackers que existe há algum tempo e acredita-se que trabalhe em cooperação com o governo norte-coreano (embora essas informações ainda não estejam confirmadas). A maioria das metas do grupo APT37 está concentrada na Coréia do Sul e dez são de alto nível. Recentemente, o APT37 usou emails de spear-phishing para propagar uma ameaça chamada NavRAT (Trojan de Acesso Remoto). Os pesquisadores de malware consideram o método de entrega usado pelos invasores bastante intrigante. Também é interessante ressaltar que a infraestrutura usada nas campanhas envolvendo o NavRAT também não é muito convencional.
Índice
Propaga-se por E-Mails de Spear-Phishing
Os e-mails de spear-phishing mencionados acima conteriam um anexo infectado no formato de um arquivo '.HWP'. Este arquivo corrompido é chamado de 'Perspectivas para a Cúpula EUA-Norte-Coreana'. O documento PostScript de conformidade com as convenções de estruturação de documentos (DSC), nesse caso, um layout PostScript encapsulado (EPS) contém um código de shell ofuscado que só é executado se todos os requisitos forem atendidos. Depois que a ameaça for levantada e em execução, ela se conectará ao servidor de seus operadores (localizado na Coréia do Sul) e buscará o principal malware que os invasores desejam plantar no host, neste caso , NavRAT.
Ganha Persistência e Opera Silenciosamente
O Trojan NavRAT inserirá seus arquivos na pasta '% PROGRAMDATA% \ AhnLab'. Os dados em questão são armazenados em um arquivo chamado 'GoogleUpdate.exe'. É importante observar que, como os alvos do APT37 estão localizados na Coréia do Sul, os atacantes optaram por usar o nome AhnLab, pois isso é comumente associado a uma empresa popular de segurança cibernética na região. Quando o NavRAT se infiltra em um host com sucesso, ele também garante que obtenha persistência no sistema comprometido. Isso é feito gerando uma chave do Registro, que visa instruir o Windows a executar o Trojan NavRAT sempre que o sistema for reiniciado. Para minimizar as chances de a ameaça ser identificada, o APT37 usou processos legítimos em execução como hosts para o código corrompido.
O NavRAT é capaz de fazer o que a maioria dos Trojans de Acesso Remoto fazem:
- Executa comandos remotos.
- Coleta as teclas digitadas.
- Baixa e executa arquivos.
- Carrega e executa arquivos.
O Trojan NavRAT se Comunica com os Seus Operadores via E-Mail
No entanto, em vez de usar o método de comunicação regular entre a ameaça e o servidor de C&C (Comando e Controle) remoto, o NavRAT se comunica com os seus operadores por meio de anexos de email. O serviço de e-mail utilizado pelo grupo de hackers APT37 é chamado Naver e é bastante popular na Coréia do Sul. Os autores do Trojan NavRAT certificaram-se de incluir credenciais de login e endereço de email em todas as cópias da ameaça que está sendo distribuída. A ameaça NavRAT também recebe as cargas úteis de malware adicional por meio de anexos de email.
O serviço de e-mail legítimo usado pelos atores mal-intencionados farejou as contas de indivíduos obscuros e as fechou, pois eles não apenas têm a responsabilidade de manter seus clientes seguros, mas também estão associados a um grupo de hackers norte-coreano de alto perfil não é exatamente um bom representante.