Sagerunex

A ameaça Sagerunex faz parte do arsenal de ferramentas de hacking do Thrip APT (Ameaça Persistente Avançada). Esse grupo de hackers está ativo desde 2012, mas não foi até 2018 que eles chamaram a atenção dos analistas de malware que começaram a estudar as suas campanhas. O Thrip APT opera principalmente na região do Sudeste Asiático e tende a atingir empresas e organizações de alto nível. A maioria dos seus alvos parece operar nos setores de saúde, mídia, militar e telecomunicações.

Depois que os especialistas em segurança cibernética estudaram o backdoor Sagerunex, eles encontraram semelhanças estranhas entre ele e a ameaça Evora - outro Trojan backdoor que faz parte do arsenal do grupo de hackers Thrip. Parece que a ameaça Sagerunex é uma variante nova e aprimorada do backdoor antigo do Evora. O malware Sagerunex é bastante limitado em relação aos seus recursos. No entanto, essa ferramenta é capaz de fazer mais do que o suficiente para atingir o objetivo final do Thrip APT - coletando dados confidenciais dos hosts de destino. O backdoor Sagerunex provavelmente é implantado como uma carga útil de primeiro estágio. Isso permite que os atacantes usem a ameaça Sagerunex para plantar malware adicional no sistema da vítima. É provável que a carga secundária na maioria das campanhas do grupo Thrip seja um agente de infostealer que permitirá que os invasores exfiltrem dados e arquivos importantes e confidenciais dos computadores infectados. O backdoor Sagerunex foi projetado para obter persistência no host comprometido assim que ele se infiltrar com êxito. Isso é feito com a violação do Registro do Windows - isso garante que o backdoor Sagerunex seja executado após a reinicialização do sistema. Para evitar a detecção pela vítima, o backdoor Sagerunex está usando o nome 'svchost.exe', que pode induzir os usuários a pensar que este é um serviço legítimo. Assim que o backdoor Sagerunex ganhar persistência no sistema, ele se conectará ao servidorde C&C (Comando e Controle) dos invasores e esperará que eles enviem comandos, os quais a ameaça executará no host infectado.

O backdoor Sagerunex, assim como as outras ferramentas do arsenal de hackers do Thrip APT, não pode ser classificado como malware muito sofisticado. Se você instalar um aplicativo anti-vírus respeitável no seu sistema, deverá estar protegido contra o backdoor Sagerunex e outras ameaças semelhantes de forma segura.