SoreFang

SoreFang é o nome de uma ferramenta de hackers que foi desenvolvida pelo infame grupo de hackers Cozy Bear. Esse grupo de hackers é originário da Rússia e é conhecido pelos aliases APT29 ( Ameaça persistente avançada ), Cosy Dukes, The Duke e Office Monkeys. O APT29 tende a atingir instituições e indivíduos de alto perfil. Esses hackers existem desde 2008, mas permanecem ativos até hoje.

Uma das mais recentes campanhas do grupo de hackers da Cozy Bear tem como alvo instalações médicas no Canadá, Estados Unidos e Reino Unido. O grupo Cozy Bear parece estar perseguindo faculdades específicas, responsáveis pela realização de pesquisas sobre o Coronavírus. Isso leva os especialistas em malware a acreditar que essa pode ser uma operação de reconhecimento elaborada. O APT29 parece estar plantando uma das três ferramentas de hackers nos hosts comprometidos.

As três ferramentas de hackers envolvidas na última campanha da Cozy Bear são chamadas SoreFang, WellMess e WellMail . O malware SoreFang é uma ferramenta de hacking usada em campanhas antigas do APT29. No entanto, na operação mais recente do APT29, a ameaça SoreFang foi retirada da maioria de seus módulos e recursos. Nesta campanha, o malware SoreFang é usado principalmente para injetar cargas úteis adicionais no sistema comprometido. A ameaça SoreFang também é usada para coletar dados sobre o host, que é armazenado em um arquivo e transferido para o servidor C&C (Comando e Controle) dos invasores. O malware SoreFang é entregue no host de destino por meio de vulnerabilidades presentes nos serviços habilitados para Internet no sistema que os atacantes estão alvejando. Isso aponta para a implantação manual da ameaça SoreFang. Os analistas de segurança cibernética acreditam que o malware SoreFang pode ter como alvo dispositivos específicos fabricados pela empresa SangFor.

O grupo de hackers Cozy Bear não deve ser subestimado. Alguns pesquisadores acreditam que o APT29 pode estar realizando campanhas em nome do governo russo.