SunOrcal
Cartão de pontuação de ameaças
EnigmaSoft Threat Scorecard
Os EnigmaSoft Threat Scorecards são relatórios de avaliação para diferentes ameaças de malware que foram coletadas e analisadas por nossa equipe de pesquisa. Os Scorecards de Ameaças da EnigmaSoft avaliam e classificam as ameaças usando várias métricas, incluindo fatores de risco reais e potenciais, tendências, frequência, prevalência e persistência. Os Scorecards de Ameaças da EnigmaSoft são atualizados regularmente com base em nossos dados e métricas de pesquisa e são úteis para uma ampla gama de usuários de computador, desde usuários finais que buscam soluções para remover malware de seus sistemas até especialistas em segurança que analisam ameaças.
Os Scorecards de Ameaças da EnigmaSoft exibem uma variedade de informações úteis, incluindo:
Popularity Rank: The ranking of a particular threat in EnigmaSoft’s Threat Database.
Nível de gravidade: O nível de gravidade determinado de um objeto, representado numericamente, com base em nosso processo de modelagem de risco e pesquisa, conforme explicado em nossos Critérios de Avaliação de Ameaças .
Computadores infectados: O número de casos confirmados e suspeitos de uma determinada ameaça detectada em computadores infectados conforme relatado pelo SpyHunter.
Consulte também Critérios de Avaliação de Ameaças .
| Nível da Ameaça: | 80 % (Alto) |
| Computadores infectados: | 3 |
| Visto pela Primeira Vez: | January 19, 2011 |
| Visto pela Última Vez: | June 3, 2020 |
| SO (s) Afetados: | Windows |
A ameaça SunOrcal surgiu pela primeira vez em 2013. Ao longo dos anos, os operadores do malware SunOrcal introduziram várias atualizações importantes. Uma das atualizações mais importantes foi lançada em 2017 - os cibercriminosos estabeleceram um servidor de C&C (Comando & Controle) hospedado na plataforma GitHub. Outra grande mudança foi a introdução da esteganografia, pois a ameaça SunOrcal agora poderia fazer uso dessa técnica de instalação. Sabe-se que esta ferramenta de hackers foi usada contra várias organizações localizadas em Mianmar, além de ativistas tibetanos conhecidos.
O malware SunOrcal usa uma técnica básica para garantir que dois implantes não sejam executados na mesma rede. Assim que a ameaça é lançada, ela verifica a presença de um mutex específico no host infectado - se uma correspondência for encontrada, ela ainda interromperá a execução. Se uma correspondência não for encontrada, ela continuará criando um mutex com o mesmo nome e continuando com seu ataque. Em seguida, a ameaça SunOrcal irá descompactar e descriptografar o conteúdo, o que permitiria baixar certos dados de configuração necessários para concluir o ataque, tais como:
- Um link para o servidor C&C baseado no GitHub.
- A porta utilizada para comunicação.
- O endereço do servidor C&C.
- Um URL a partir do qual a ameaça pode buscar cargas maliciosas adicionais.
O perfil do GitHub vinculado a este ataque existe sob o nome de usuário 'NordicMyth'. O usuário em questão está hospedando alguns arquivos 'README' de aparência inocente. No entanto, um deles parece ter uma cadeia criptografada, que não será visível à primeira vista. A ameaça SunOrcal usa essa sequência específica ao executar o ataque. Em seguida, o malware SunOrcal pode baixar uma carga útil adicional que parece ser entregue na forma de um arquivo 'BMP'. O arquivo 'BMP' em questão utiliza a técnica de esteganografia mencionada anteriormente, que permite que ele contenha código oculto. Quando a ameaça SunOrcal decodifica o conteúdo do arquivo 'BMP', ela prossegue com o ataque gerando uma DLL (Dynamic Link Library), que o ajudará a concluir o ataque.
O uso da esteganografia aponta para um grupo de cibercriminosos altamente qualificado, capaz de realizar operações complexas.
