PortReuse
A China é popular por seus grupos de hackers. Alguns operam em seus próprios termos, enquanto outros são patrocinados pelo governo chinês. Um dos mais notórios grupos de hackers chineses é o Winnti Group. Eles também são conhecidos como APT41 (Ameaça Persistente Avançada). Eles vêm ganhando destaque desde 2010. O Winnti Group recebe o nome de uma ferramenta de hackers desenvolvida por este APT - o malware Winnti. Essa ameaça colocou o Winnti Group no mapa e foi detectada pela primeira vez em 2013. Desde que o grupo de hackers ganhou destaque graças ao malware Winnti, eles desenvolveram novas ferramentas, uma das quais é o Trojan backdoor do PortReuse.
Sua Preferência pela Furtividade
A maioria dos Trojans de backdoor segue o mesmo padrão - eles são operados através de um servidor de C&C (Comando e Controle) remoto e tendem a ter uma longa lista de recursos. No entanto, esse não é o caso do Trojan PortReuse. O Grupo Winnti parece preferir discrição a funcionalidade. É por isso que eles decidiram garantir que sua ameaça permanecesse não detectada, apesar de, ao fazer isso, também estarem prejudicando o Trojan backdoor PortReuse, que poderia ter sido uma ameaça muito mais grave. Os autores do Trojan PortReuse optaram por não usar um servidor C&C para operar a ameaça, pois ela pode ser considerada 'muito barulhenta'. Em vez disso, eles estão utilizando o Wake-on-LAN, também conhecido como pacotes mágicos, que são usados para executar o segmento corrompido do código.
Opera Silenciosamente
Os operadores do Trojan PortReuse se esforçaram um pouco mais para manter sua criação em baixa, garantindo a minimização da impressão digital deixada por sua atividade insegura. Isso é obtido usando uma porta TCP aberta e ativa. Por essa porta, o Trojan PortReuse recebe o pacote de rede mágico em questão. Parece que os autores utilizam serviços diferentes nas seguintes portas TCP, como 53 (DNS), 80 (HTTP), 443 (HTTPS), 3389 (RDP) e 5985 (WinRM).
Os pesquisadores de malware conseguiram rastrear os endereços IP dos atores por trás do Trojan PortReuse ao descriptografar a carga útil nociva da ameaça usada na construção do pacote Wake On-LAN. Depois de estudar os dados descobertos, os especialistas em segurança cibernética especulam que o Grupo Winnti pode estar planejando lançar um ataque contra uma corporação asiática especializada no desenvolvimento de software móvel e na produção de hardware móvel. Alguns acreditam que o ataque pode incluir vários estágios e diferentes ferramentas de hacking sendo utilizadas.
