SLOWDRIFT

O governo norte-coreano não se esquiva de usar grupos de hackers para fazer suas ofertas no cenário internacional. Sabe-se que eles trabalham com o famoso grupo de hackers Lazarus há anos, que realizou numerosos ataques com o objetivo de promover politicamente os interesses norte-coreanos. Recentemente, eles começaram a trabalhar com outro grupo de hackers - ScarCruft. O grupo ScarCruft também é conhecido como APT37 (Ameaça persistente avançada). Eles realizaram ataques contra alvos do Oriente Médio, mas a maioria de suas vítimas está localizada na Coréia do Sul. O grupo de hackers ScarCruft não procura usuários comuns - seus esforços estão concentrados em indivíduos em posições de prestígio ou em grandes organizações.

Método de Propagação

Normalmente, o grupo de hackers ScarCruft usa campanhas de email para propagar suas ferramentas de hackers. Mais especificamente, eles garantem que os e-mails que eles enviam aos seus alvos pareçam o mais críveis e legítimos possível. Esses e-mails teriam um documento em anexo, que provavelmente será vinculado a macros. A mensagem no email tentaria convencer o usuário a executar o anexo aparentemente inofensivo. É assim que o usuário dá luz verde à carga insegura armazenada no anexo corrompido.

É Capaz de Coletar Dados e Plantar Malware Adicional

A ameaça SLOWDRIFT, em particular, pode ser classificada como um Trojan downloader. Essa ferramenta de hackers tem como objetivo se infiltrar no host e começar a coletar informações sobre o sistema. Os dados que o Trojan SLOWDRIFT busca são informações gerais sobre o hardware e o software do host infectado. Em seguida, os dados em questão serão transferidos para os operadores do Trojan SLOWDRIFT. Isso ajuda o grupo de hackers ScarCruft a determinar como continuar o ataque e, mais especificamente, qual de suas outras ferramentas de hackers seria mais adequada para implantação como carga útil de segundo estágio. O downloader do Trojan SLOWDRIFT serve como um portal para os atacantes plantarem uma ameaça mais grave no sistema comprometido. Os especialistas em segurança cibernética determinaram que, até o momento, o grupo de hackers ScarCruft usou o downloader do Trojan SLOWDRIFT para plantar o ZUMKONG nos computadores visados.

O grupo APT37 é uma estrela em ascensão no mundo sombrio dos criminosos cibernéticos. Se eles continuarem aprimorando suas ferramentas e técnicas, poderão em breve ser considerados no nível de seus colegas norte-coreanos que trabalham no mesmo setor - o infame grupo de hackers Lazarus.