Novo malware confirma a atividade do usuário antes de explorar o backdoor para realizar ciberespionagem

Segurança / Novo malware confirma a atividade do usuário antes de explorar o backdoor para realizar ciberespionagem 4 minutos lidos

A Evolução do Malware



A empresa de segurança cibernética ESET descobriu que um grupo de hackers conhecido e esquivo está implantando silenciosamente um malware que tem alguns alvos específicos. O malware explora uma porta dos fundos que já passou pelo radar com sucesso. Além disso, o software realiza alguns testes interessantes para garantir que é um computador usado ativamente. Se o malware não detectar atividade ou não estiver satisfeito, ele simplesmente desliga e desaparece para manter a discrição ideal e evitar possível detecção. O novo malware está procurando personalidades importantes dentro da máquina do governo estadual. Simplificando, o malware está perseguindo diplomatas e departamentos governamentais em todo o mundo

o Ke3chang o grupo de ameaças persistentes avançadas parece ter ressurgido com uma nova campanha de hacking focada. O grupo tem lançado e gerenciado com sucesso campanhas de espionagem cibernética desde pelo menos 2010. As atividades e exploits do grupo são bastante eficientes. Combinado com os alvos pretendidos, parece que o grupo está sendo patrocinado por uma nação. A última cepa de malware implantado pelo Ke3chang grupo é bastante sofisticado. Troianos de acesso remoto implantados anteriormente e outros malwares também foram bem projetados. No entanto, o novo malware vai além da infecção cega ou em massa das máquinas visadas. Em vez disso, seu comportamento é bastante lógico. O malware tenta confirmar e autenticar a identidade do alvo e da máquina.



Pesquisadores de segurança cibernética da ESET identificam novos ataques por Ke3chang:

O grupo de ameaças persistentes avançadas Ke3chang, ativo desde pelo menos 2010, também é identificado como APT 15. O popular antivírus eslovaco, firewall e outras empresas de segurança cibernética ESET identificaram rastros confirmados e evidências das atividades do grupo. Os pesquisadores da ESET afirmam que o grupo Ke3chang está usando suas técnicas testadas e confiáveis. No entanto, o malware foi significativamente atualizado. Além disso, desta vez, o grupo está tentando explorar uma nova porta dos fundos. A porta dos fundos anteriormente desconhecida e não reportada é provisoriamente apelidada de Okrum.



Os pesquisadores da ESET indicaram ainda que sua análise interna indica que o grupo está perseguindo órgãos diplomáticos e outras instituições governamentais. A propósito, o grupo Ke3chang tem sido excepcionalmente ativo na condução de campanhas sofisticadas, direcionadas e persistentes de espionagem cibernética. Tradicionalmente, o grupo perseguia funcionários do governo e personalidades importantes que trabalhavam com o governo. Suas atividades foram observadas em países da Europa e da América Central e do Sul.



O interesse e o foco da ESET continuam a permanecer no grupo Ke3chang porque o grupo tem sido bastante ativo no país de origem da empresa, a Eslováquia. No entanto, outros alvos populares do grupo são Bélgica, Croácia e República Tcheca na Europa. O grupo é conhecido por ter como alvo o Brasil, Chile e Guatemala na América do Sul. As atividades do grupo Ke3chang indicam que pode ser um grupo de hackers patrocinado pelo estado com hardware poderoso e outras ferramentas de software que não estão disponíveis para hackers comuns ou individuais. Portanto, os ataques mais recentes também podem ser parte de uma campanha sustentada de longo prazo para coletar inteligência, observou Zuzana Hromcova, pesquisadora da ESET, 'O objetivo principal do invasor é provavelmente a espionagem cibernética, é por isso que eles selecionaram esses alvos.'



Como funciona o Ketrican Malware And Okrum Backdoor?

O malware Ketrican e o backdoor Okrum são bastante sofisticados. Os pesquisadores de segurança ainda estão investigando como a porta dos fundos foi instalada ou deixada cair nas máquinas visadas. Embora a distribuição da porta dos fundos do Okrum continue sendo um mistério, sua operação é ainda mais fascinante. O backdoor do Okrum realiza alguns testes de software para confirmar que não está sendo executado em uma sandbox, que é essencialmente um espaço virtual seguro que os pesquisadores de segurança usam para observar o comportamento do software malicioso. Se o carregador não obtiver resultados confiáveis, ele simplesmente se fecha para evitar a detecção e análises adicionais.

O método do backdoor do Okrum para confirmar que está sendo executado em um computador que funciona no mundo real também é bastante interessante. O carregador ou porta dos fundos ativa o caminho para receber a carga real após o botão esquerdo do mouse ter sido clicado pelo menos três vezes. Os pesquisadores acreditam que esse teste confirmatório é realizado principalmente para garantir que a porta dos fundos esteja operando em máquinas reais e funcionais, e não em máquinas virtuais ou sandbox.

Assim que o carregador estiver satisfeito, o backdoor do Okrum primeiro concede a si mesmo todos os privilégios de administrador e coleta informações sobre a máquina infectada. Ele tabula informações como nome do computador, nome de usuário, endereço IP do host e qual sistema operacional está instalado. Depois disso, ele exige ferramentas adicionais. O novo malware Ketrican também é bastante sofisticado e inclui várias funcionalidades. Ele ainda tem um downloader embutido, bem como um uploader. O mecanismo de upload é usado para exportar arquivos furtivamente. A ferramenta de download dentro do malware pode solicitar atualizações e até mesmo executar comandos shell complexos para penetrar profundamente na máquina host.

Os pesquisadores da ESET haviam observado anteriormente que a porta dos fundos do Okrum poderia até implantar ferramentas adicionais como o Mimikatz. Esta ferramenta é essencialmente um keylogger furtivo. Ele pode observar e registrar pressionamentos de tecla e tentar roubar credenciais de login para outras plataformas ou sites.

A propósito, os pesquisadores notaram várias semelhanças nos comandos que o backdoor Okrum e o malware Ketrican usam para contornar a segurança, conceder privilégios elevados e conduzir outras atividades ilícitas. A semelhança inconfundível entre os dois levou os pesquisadores a acreditar que os dois são intimamente relacionados. Se essa não for uma associação forte o suficiente, ambos os softwares tinham como alvo as mesmas vítimas, observou Hromcova, “Começamos a ligar os pontos quando descobrimos que a porta traseira Okrum foi usada para derrubar uma porta traseira Ketrican, compilada em 2017. Além disso , descobrimos que algumas entidades diplomáticas que foram afetadas pelo malware Okrum e pelos backdoors do Ketrican 2015 também foram afetadas pelos backdoors do Ketrican 2017. ”

Os dois softwares mal-intencionados relacionados com anos de diferença e as atividades persistentes do grupo de ameaças persistentes avançadas do Ke3chang indicam que o grupo permaneceu fiel à espionagem cibernética. A ESET está confiante, o grupo tem aprimorado suas táticas e a natureza dos ataques tem crescido em sofisticação e eficácia. O grupo de cibersegurança tem registrado as façanhas do grupo por um longo tempo e tem sido manter um relatório de análise detalhado .

Recentemente, relatamos como um grupo de hackers abandonou suas outras atividades ilegais online e começou a se concentrar em espionagem cibernética . É muito provável que grupos de hackers possam encontrar melhores perspectivas e recompensas nesta atividade. Com o aumento dos ataques patrocinados pelo estado, governos desonestos também podem estar secretamente apoiando os grupos e oferecendo-lhes perdão em troca de valiosos segredos de estado.