Volgmer

A ameaça Volgmer é uma ferramenta de hackers que pertence ao Lazarus APT (Ameaça Persistente Avançada). O grupo de hackers do Lazarus, conhecido em alguns círculos como HIDDEN COBRA, é um APT originário da Coréia do Norte. Os especialistas em malware acreditam que o Lazarus APT é financiado pelo governo norte-coreano e realiza ataques cibernéticos em seu nome. Isso explica por que o grupo de hackers Lazarus tende a atingir altos funcionários, empresas e organizações de governos estrangeiros que operam em indústrias que competem com a Coréia do Norte.

O malware Volgmer é uma ameaça que atingiu os radares dos analistas de segurança cibernética em 2013. Desde então, o Lazarus APT vem utilizando essa ferramenta de hackers regularmente. O malware Volgmer serve como um backdoor que permite ao Lazarus APT assumir o controle do sistema infectado e executar diversos comandos. Ao longo dos anos, o grupo de hackers Lazarus introduziu várias atualizações e upgrades no Trojan Volgmer, que melhorou bastante essa ameaça.

O Lazarus APT utilizou o Trojan Volgmer em vários ataques direcionados a diferentes empresas e organizações que operam nos setores de mídia, automotivo e financeiro. Naturalmente, a ameaça Volgmer também foi utilizada em campanhas direcionadas a órgãos governamentais e várias autoridades estrangeiras. A ameaça Volgmer é frequentemente propagada com a ajuda de emails de spear-phishing, projetados com cuidado para atrair a atenção dos usuários e evitar levantar suspeitas. Os emails em questão contém uma mensagem falsa e um arquivo anexado, que carrega a carga útil do Trojan Volgmer.

Assim que o malware Volgmer consegue comprometer o computador visado, ele permitirá que os seus operadores:

• Gerenciem os processos em execução.
• Baixem arquivos do PC infiltrado.
• Executem comandos remotos.
• Modifiquem o registro do Windows para obter persistência no host.
• Listem diretórios e arquivos presentes no sistema.
• Baixem arquivos de URLs.
• Carreguem arquivos do servidor de C&C (Comando & Controle) dos atacantes.
• Coletem informações básicas, tais como detalhes de hardware e software, bem como dados sobre as configurações do usuário e os processos em execução.

Apesar desse Trojan poder ganhar persistência ao modificar o Registro do Windows, ele também utiliza outro truque - ele usa um Serviço do Windows falso para comandar o sistema operacional a executar o executável do Volgmer assim que o computador for iniciado.

O Lazarus APT é um dos grupos de hackers mais importantes da Coréia do Norte e tem o potencial de causar grandes estragos nos sistemas dos seus alvos.