Licencias para múltiples dispositivos (descuentos por volumen)
Threat Database Malware QUESO

QUESO

Por GoldSparrow en Malware
Traducir a:
Español

El APT38 (Amenaza persistente avanzada) está en las noticias una vez más. Este grupo de piratería opera desde Corea del Norte y también es conocido bajo el alias de Lázaro. Sus actividades criminales se han ido tan por la borda que actualmente la Oficina Federal de Investigaciones de los Estados Unidos busca a algunos de sus miembros. La principal motivación del grupo APT38 parece ser la ganancia monetaria, ya que tienden a apuntar a grandes instituciones financieras y bancos de todo el mundo. Se cree que este grupo de piratas está patrocinado directamente por el gobierno de Corea del Norte, por lo que es probable que estén haciendo lo que Kim Jong-un le pide.

Permite a los atacantes recopilar datos durante mucho tiempo en silencio

El grupo de hackeo APT38 tiende a tomarse su tiempo cuando realiza una operación. A menudo se infiltraban en su objetivo y pasaban el mayor tiempo posible bajo su radar, todo mientras recopilaban datos sobre el sistema de su víctima. Esto ayuda a los atacantes a decidir cómo llevar a cabo exactamente la campaña para que puedan lograr los mejores resultados. La herramienta CHEESETRAY es un troyano de puerta trasera, que forma parte del arsenal del grupo APT38 y permite a sus operadores tener acceso al sistema comprometido a largo plazo. Una característica interesante del malware CHEESETRAY es que se ha configurado para tener la capacidad de operar en modo activo o en modo pasivo. El sistema determina si la amenaza se ha infiltrado si se ejecuta en modo activo o pasivo.

Modo activo y modo pasivo

Una puerta trasera activa establecería una conexión con el servidor C&C (Comando y Control) de los atacantes y comenzaría a enviar y recibir datos de inmediato. Sin embargo, el lado negativo de este enfoque es que esto es bastante ruidoso, y una aplicación antimalware legítima probablemente detectará la actividad insegura muy rápidamente. Una puerta trasera pasiva tiene un enfoque mucho más silencioso. Este modo permitiría que la puerta trasera CHEESETRAY permanezca inactiva y probablemente evite la detección. La amenaza permanecerá inactiva hasta que reciba lo que se llama un "paquete mágico", que se entrega a un determinado puerto de red. Al utilizar este método, el grupo APT38 se asegura de que quedan rastros mínimos de su actividad amenazante.

Capacidades

El troyano de puerta trasera CHEESETRAY permite a sus operadores:

  • Enviar comandos de shell remotos.
  • Eliminar archivos presentes en el sistema.
  • Observe las sesiones de escritorio remoto.
  • Planta su código corrupto en procesos legítimos.
  • Enumere los procesos que se ejecutan en el sistema.
  • Recopile datos sobre el sistema de archivos, como nombres de archivos y nombres de carpetas.
  • Cargue archivos en el sistema infectado.
  • Descargar archivos de una URL seleccionada.

Es probable que la actividad del grupo de piratería APT38 no cese pronto, por lo que continuaremos viéndolos en los titulares en el futuro previsible.

Tendencias

Mas Visto

Cargando...