NavRAT

O APT37 (Ameaça Persistente Avançada) é um grupo de hackers que existe há algum tempo e acredita-se que trabalhe em cooperação com o governo norte-coreano (embora essas informações ainda não estejam confirmadas). A maioria das metas do grupo APT37 está concentrada na Coréia do Sul e dez são de alto nível. Recentemente, o APT37 usou emails de spear-phishing para propagar uma ameaça chamada NavRAT (Trojan de Acesso Remoto). Os pesquisadores de malware consideram o método de entrega usado pelos invasores bastante intrigante. Também é interessante ressaltar que a infraestrutura usada nas campanhas envolvendo o NavRAT também não é muito convencional.

Propaga-se por E-Mails de Spear-Phishing

Os e-mails de spear-phishing mencionados acima conteriam um anexo infectado no formato de um arquivo '.HWP'. Este arquivo corrompido é chamado de 'Perspectivas para a Cúpula EUA-Norte-Coreana'. O documento PostScript de conformidade com as convenções de estruturação de documentos (DSC), nesse caso, um layout PostScript encapsulado (EPS) contém um código de shell ofuscado que só é executado se todos os requisitos forem atendidos. Depois que a ameaça for levantada e em execução, ela se conectará ao servidor de seus operadores (localizado na Coréia do Sul) e buscará o principal malware que os invasores desejam plantar no host, neste caso , NavRAT.

Ganha Persistência e Opera Silenciosamente

O Trojan NavRAT inserirá seus arquivos na pasta '% PROGRAMDATA% \ AhnLab'. Os dados em questão são armazenados em um arquivo chamado 'GoogleUpdate.exe'. É importante observar que, como os alvos do APT37 estão localizados na Coréia do Sul, os atacantes optaram por usar o nome AhnLab, pois isso é comumente associado a uma empresa popular de segurança cibernética na região. Quando o NavRAT se infiltra em um host com sucesso, ele também garante que obtenha persistência no sistema comprometido. Isso é feito gerando uma chave do Registro, que visa instruir o Windows a executar o Trojan NavRAT sempre que o sistema for reiniciado. Para minimizar as chances de a ameaça ser identificada, o APT37 usou processos legítimos em execução como hosts para o código corrompido.

O NavRAT é capaz de fazer o que a maioria dos Trojans de Acesso Remoto fazem:

  • Executa comandos remotos.
  • Coleta as teclas digitadas.
  • Baixa e executa arquivos.
  • Carrega e executa arquivos.

O Trojan NavRAT se Comunica com os Seus Operadores via E-Mail

No entanto, em vez de usar o método de comunicação regular entre a ameaça e o servidor de C&C (Comando e Controle) remoto, o NavRAT se comunica com os seus operadores por meio de anexos de email. O serviço de e-mail utilizado pelo grupo de hackers APT37 é chamado Naver e é bastante popular na Coréia do Sul. Os autores do Trojan NavRAT certificaram-se de incluir credenciais de login e endereço de email em todas as cópias da ameaça que está sendo distribuída. A ameaça NavRAT também recebe as cargas úteis de malware adicional por meio de anexos de email.

O serviço de e-mail legítimo usado pelos atores mal-intencionados farejou as contas de indivíduos obscuros e as fechou, pois eles não apenas têm a responsabilidade de manter seus clientes seguros, mas também estão associados a um grupo de hackers norte-coreano de alto perfil não é exatamente um bom representante.

Tendendo

Mais visto

Carregando...