Thrip

O grupo de hackers Thrip é um APT (Ameaça Persistente Avançada) que surgiu pela primeira vez em 2018. O Thrip APT não tende a atingir usuários regulares. Em vez disso, eles geralmente buscam corporações de alto perfil. A maioria dos alvos do grupo de hackers Thrip está localizada no sudeste da Ásia. As empresas visadas pelo Thrip APT geralmente operam nos setores de saúde, militar, mídia e comunicação. Os especialistas em malware que estudaram o grupo de hackers Thrip acreditam que podem ser originários da China. Eles chegaram a esse raciocínio depois de analisar os servidores de C&C (Comando & Controle) que o APT utiliza e as ferramentas de hackers presentes no seu arsenal. O Thrip APT é provavelmente um ramo do grupo de hackers do Billbug. Billbug é um APT que existe há uma década e também é conhecido sob o pseudônimo de Lotus Blossom.

O Thrip APT está focado na realização de operações de reconhecimento principalmente. É por isso que as suas ameaças tendem a operar silenciosamente. As ferramentas implementadas nas campanhas do Thrip ganhariam persistência no host comprometido e iniciariam uma operação de espionagem criada para durar a longo prazo, se não for detectada. O Thrip APT usa ferramentas de hackers criadas sob medida e ferramentas disponíveis ao público. Entre as ferramentas mais usadas no arsenal de hackers do Thrip APT estão os backdoors Hannotog , Sagerunex e Evora , bem como o infostealer de Catchamas. As ameaças desenvolvidas pelo grupo de hackers Thrip não podem ser consideradas muito sofisticadas, mas são boas o suficiente para realizar operações bem-sucedidas. O Thrip APT tende a usar truques comumente usados tanto para infiltração quanto para ganhar persistência no host infectado. Os backdoors personalizados Evora e Sagerunex parecem depender do controle do serviço do Windows Registry para obter persistência. Para permanecer sem serem detectados por um longo período, ambas as ameaças usam nomes que imitam serviços genéricos do Windows. No caso do Catchamas que infesta o PC com malware, a ameaça adotou o nome 'NetAdapter'. Isso faz com que a ameaça pareça um componente de rede genuíno e é improvável que a vítima note algo fora do comum.

Nos últimos dois anos, principalmente, o grupo de hackers Thrip tem estado mais ativo. O Thrip APT não está afrouxou - eles lançaram uma versão atualizada do backdoor Evora chamada Sagerunex. Eles também introduziram novas ferramentas de hackers, tais como o infostealer Catchamas, capaz de coletar vários tipos de dados no sistema da vítima.