SunOrcal

Por GoldSparrow em Trojans

Traduzir Para:

A ameaça SunOrcal surgiu pela primeira vez em 2013. Ao longo dos anos, os operadores do malware SunOrcal introduziram várias atualizações importantes. Uma das atualizações mais importantes foi lançada em 2017 - os cibercriminosos estabeleceram um servidor de C&C (Comando & Controle) hospedado na plataforma GitHub. Outra grande mudança foi a introdução da esteganografia, pois a ameaça SunOrcal agora poderia fazer uso dessa técnica de instalação. Sabe-se que esta ferramenta de hackers foi usada contra várias organizações localizadas em Mianmar, além de ativistas tibetanos conhecidos.

O malware SunOrcal usa uma técnica básica para garantir que dois implantes não sejam executados na mesma rede. Assim que a ameaça é lançada, ela verifica a presença de um mutex específico no host infectado - se uma correspondência for encontrada, ela ainda interromperá a execução. Se uma correspondência não for encontrada, ela continuará criando um mutex com o mesmo nome e continuando com seu ataque. Em seguida, a ameaça SunOrcal irá descompactar e descriptografar o conteúdo, o que permitiria baixar certos dados de configuração necessários para concluir o ataque, tais como:

Um link para o servidor C&C baseado no GitHub.
A porta utilizada para comunicação.
O endereço do servidor C&C.
Um URL a partir do qual a ameaça pode buscar cargas maliciosas adicionais.

O perfil do GitHub vinculado a este ataque existe sob o nome de usuário 'NordicMyth'. O usuário em questão está hospedando alguns arquivos 'README' de aparência inocente. No entanto, um deles parece ter uma cadeia criptografada, que não será visível à primeira vista. A ameaça SunOrcal usa essa sequência específica ao executar o ataque. Em seguida, o malware SunOrcal pode baixar uma carga útil adicional que parece ser entregue na forma de um arquivo 'BMP'. O arquivo 'BMP' em questão utiliza a técnica de esteganografia mencionada anteriormente, que permite que ele contenha código oculto. Quando a ameaça SunOrcal decodifica o conteúdo do arquivo 'BMP', ela prossegue com o ataque gerando uma DLL (Dynamic Link Library), que o ajudará a concluir o ataque.

O uso da esteganografia aponta para um grupo de cibercriminosos altamente qualificado, capaz de realizar operações complexas.

Buscar

Mudar de região

SunOrcal

Enviar o Comentário

Tendendo

'YouPorn' Email Scam

Safe Search Eng

MyWallPaper

Mais visto

O Lookmovie.io é seguro?

Como Corrigir o Erro 'Driver da Impressora...

O Discord Exibe uma Tela Preta ao Compartilhar a Tela