Okrum

Por CagedTech em Backdoors

O grupo de hackers Ke3chang, também conhecido como APT15 (Advanced Persistent Threat), é um grupo de cibercriminosos que provavelmente operam na China. Sabe-se que esse grupo de hackers tem como alvo governos, bem como grandes indústrias como as militares e petrolíferas. Depois de iniciar uma campanha bem-sucedida, eles aproveitam a atividade por algum tempo, para que as autoridades tenham dificuldade em rastreá-la. Em 2017 tiveram várias operações, que foram um sucesso e depois voltaram a esconder-se. No entanto, recentemente, o Ke3chang fez um retorno. O grupo APT15 atualizou várias de suas ferramentas de hackers mais proeminentes - RoyalDNS, Okrum e Ketrican .

Operações na Europa e na América do Sul

Neste post, estaremos discutindo o backdoor do Okrum. Essa ameaça é capaz de se auto-preservar com muito sucesso, pois emprega vários métodos diferentes para detectar se o host é um ambiente seguro, que é usado para depurar malware. Além disso, o backdoor do Okrum pode criptografar seu tráfego de rede e, assim, impedir que os pesquisadores vejam quais dados são exfiltrados. Parece que as campanhas que empregaram o backdoor da Okrum estavam focadas principalmente em alvos de peixes grandes localizados na Europa (Eslováquia e Bélgica) e na América do Sul (Brasil, Guatemala e Chile). O método de propagação é desconhecido. O domínio do servidor Command & Control disfarçado de um serviço de mapa eslovaco legítimo para se misturar com o tráfego de rede regular. Isso serve a um único propósito - fazer com que o tráfego induzido se misture com o tráfego regular. Dessa forma, seria muito mais difícil para os especialistas em segurança identificar os endereços usados pelos invasores para controlar o backdoor. Uma abordagem semelhante foi adotada nas campanhas sul-americanas.

Empregando Esteganografia

Outra característica notável do backdoor Okrum é que seus criadores optaram por esconder um código corrompido em uma imagem. Um arquivo '.png' aparentemente inocente seria entregue às vítimas e, uma vez aberto, o código oculto acionaria um arquivo criptografado, que contém a carga útil do backdoor do Okrum. Essa técnica astuta é chamada esteganografia. Esse método ajuda a ofuscar a atividade insegura dessa ameaça, e alguns aplicativos anti-malware de baixo custo podem falhar em detectá-la.

Capacidades

A lista de recursos do backdoor do Okrum não é muito longa. Essa ameaça pode:

  • Executar arquivos.
  • Fazer upload de arquivos.
  • Executar comandos remotos.
  • Reunir dados.
  • Transferir dados para o servidor de C&C (Comando e Contrôle) dos invasores.

No entanto, o backdoor Okrum serve principalmente como um portal para malwares adicionais, que os invasores podem querer instalar na máquina infiltrada. Eles parecem usá-lo frequentemente para carregar keyloggers nos hosts comprometidos, entre outras ferramentas de hacking.

Mesmo que o grupo de hackers Ke3chang desapareça por um tempo, não se engane, eles não interromperam suas operações. Esses cibercriminosos trabalham para melhorar seu arsenal de ferramentas de hacking incansavelmente e introduzem atualizações em suas ferramentas para posteriormente revitalizá-las periodicamente. Certifique-se de ter um pacote de software antivírus de boa reputação, que o manterá protegido das ferramentas inteligentes do grupo APT15, como o backdoor Okrum.

Tendendo

Mais visto

Carregando...