XHunt

A campanha dos hackers do xHunt foi vista há vários meses, e os pesquisadores de malware se mantiveram atentos à sua atividade. A campanha xHunt foi notada pela primeira vez por especialistas em segurança cibernética quando o Trojan backdoor Hisoka foi descoberto em sistemas vinculados a uma empresa de transporte com sede no Kuwait. Após estudar a ameaça, os pesquisadores concluíram que o Trojan Hisoka parece estar vinculado a várias outras famílias de malware, como Killua, Sakabota, Gon, Netero e EYE. Parece que todas essas ferramentas fazem parte do arsenal do mesmo grupo de criminosos cibernéticos. A infraestrutura usada por esses criminosos cibernéticos parece ser semelhante à maneira como o infame APT OilRig iraniano (também conhecido como Helix Kitten) está realizando suas campanhas. Isso não significa que o grupo de hackers OilRig esteja por trás da campanha xHunt necessariamente, pois não há comprovação suficiente para determinar isso com certeza.

Um Grupo de Hackers Altamente Qualificados é Provavelmente o Responsável

Quem é responsável pela operação do xHunt parece ser altamente qualificado, já que suas ferramentas não são muito avançadas, mas também conseguem operar de maneira muito silenciosa. Por exemplo, a ferramenta de hackers Hisoka estabelece uma conexão com o servidor C&C (Comando e Controle) dos atacantes e se comunica com ele via HTTP, email e DNS. A maioria das ferramentas de hackers se comunica com o servidor C&C de seus operadores via HTTP, mas o uso de email e DNS é bastante incomum e pode dificultar o combate a essas ferramentas pelas ferramentas anti-vírus.

Principais Ferramentas Usadas na Campanha do xHunt

As ferramentas da campanha do xHunt têm finalidades diferentes:

• O GON é um Trojan backdoor fácil de operar (porque possui interface com o usuário) e capaz de verificar se há portas abertas no sistema, estabelecer uma conexão de Área de Trabalho Remota, executar comandos e carregar e baixar arquivos no host comprometido.
• O Killua é um Trojan backdoor que pode executar comandos remotos, mas é bastante limitado em seus recursos.
• O Hisoka é um Trojan backdoor que permite que os atacantes façam novas explorações no sistema infiltrado.
• O Sakabota parece ser uma variante desatualizada do Trojan backdoor Hisoka.
• O EYE é uma ferramenta de hackers que visa eliminar todos os rastreadores das atividades da campanha.

Não foi divulgado quem está por trás da operação do xHunt, mas é improvável que eles parem suas atividades ameaçadoras em breve. Para manter o seu sistema seguro, mantenha todo o seu software atualizado e não esqueça de baixar e instalar um aplicativo anti-malware legítimo.