NukeSped RAT
O grupo de hackers norte-coreano chamado Lazarus está de volta às notícias. Este é um dos APTs (Ameaças Persistentes Avançadas) mais proeminentes do mundo e realizou numerosos ataques bem-sucedidos globalmente. Eles também são conhecidos sob o apelido Hidden Cobra. Há muito que se especula que o grupo de hackers Lazarus está sendo financiado pelo governo norte-coreano e usado para fazer as licitações de Kim Jong-Un. Pesquisadores de malware relataram que grupos de hackers norte-coreanos estão cooperando estreitamente e provavelmente compartilhando membros e infraestrutura, tornando-os ainda mais ameaçadores para quem se opõe aos interesses do governo da Coréia do Norte.
Como o NukeSped RAT Funciona
Uma das ameaças mais recentes é o NukeSped RAT (Trojan de Acesso Remoto). Este RAT foi projetado para atingir sistemas de 32 bits. Os autores do NukeSped RAT certificaram-se de ofuscar o código de sua criação para tornar mais difícil para os pesquisadores de segurança cibernética dissecarem e estudarem a ameaça. O NukeSped RAT será instalado como um serviço ou terá sua carga injetada em uma chave Run Registry, para obter persistência no sistema infiltrado. Para essa variedade de malware, um pequeno conjunto de APIs (Application Programming Interface) é chamado para resolver funções dinamicamente. Uma lista de DLLs genéricas (Dynamic Link Libraries) e funções são importadas por uma pequena tabela de importação.
Recursos
Na maioria das vezes, o NukeSped RAT serve como uma ferramenta que permite que seus operadores obtenham o controle do host comprometido. Isso permite que eles executem comandos remotos no sistema. O NukeSped RAT também pode:
- Criar um processo.
- Matar um processo.
- Ler arquivos.
- Escrever arquivos.
- Mover arquivos.
- Coletar dados sobre os discos instalados - tipo, tamanho e espaço restante.
- Executar um conjunto de processos e módulos repetidamente.
- Remover-se do host.
O NukeSped RAT se conecta ao servidor de C&C (Comando e Controle) dos invasores, o que lhe permite extrair as informações coletadas e receber cargas úteis adicionais que podem ser plantadas no sistema infiltrado.
