Quer apoiar meu projeto de divulgação de noticias?
Agora é possivel Veja a noticia completa em: https://thehackernews.com/2022/09/webworm-hackers-using-modified-rats-in.html
Fonte: https://thehackernews.com
Achou esse artigo interessante? Siga canalfsociety em
Instagram,
Facebook,
Telegram,
Twitter,
App Boletim Tec e
App Mr Robot Sticker para ler mais conteúdo exclusivo que postamos.
Um agente de ameaças rastreado sob o apelido de Webworm foi vinculado a trojans de acesso remoto baseados no Windows, alguns dos quais estão em fase de pré-implantação ou teste.
“O grupo desenvolveu versões personalizadas de três trojans de acesso remoto (RATs), incluindo Trochilus RAT, Gh0st RAT e 9002 RAT”, disse a equipe Symantec Threat Hunter, parte da Broadcom Software, em um relatório compartilhado com o The Hacker News.
A empresa de segurança cibernética disse que pelo menos um dos indicadores de comprometimento (IOCs) foi usado em um ataque contra um provedor de serviços de TI que opera em vários países asiáticos.
Vale ressaltar que todos os três backdoors estão associados principalmente a agentes de ameaças chineses, como Stone Panda (APT10), Aurora Panda (APT17), Emissary Panda (APT27) e Julgamento Panda (APT31), entre outros, embora tenham sido usado por outros grupos de hackers.
A Symantec disse que o agente da ameaça Webworm exibe sobreposições táticas com outro novo coletivo adversário documentado pela Positive Technologies no início de maio deste ano como Space Pirates, que foi encontrado atacando entidades na indústria aeroespacial russa com novos malwares.
Space Pirates, por sua vez, cruza com atividade de espionagem chinesa previamente identificada conhecida como Wicked Panda (APT41), Mustang Panda, Dagger Panda (RedFoxtrot), Colorful Panda (TA428) e Night Dragon devido ao uso compartilhado de pós-exploração modular RATs como PlugX e ShadowPad.
Outras ferramentas em seu arsenal de malware incluem Zupdax, Deed RAT, uma versão modificada do Gh0st RAT conhecida como BH_A006 e MyKLoadClient.
O Webworm, ativo desde 2017, tem um histórico de notáveis agências governamentais e empresas envolvidas em serviços de TI, aeroespacial e indústrias de energia elétrica localizadas na Rússia, Geórgia, Mongólia e vários outros países asiáticos.
As cadeias de ataque envolvem o uso de malware dropper que abriga um carregador projetado para lançar versões modificadas dos trojans de acesso remoto Trochilus, Gh0st e 9002. A maioria das mudanças visa evitar a detecção, disse a empresa de segurança cibernética.
“O uso do Webworm de versões personalizadas de malware mais antigo e, em alguns casos, de código aberto, bem como sobreposições de código com o grupo conhecido como Space Pirates, sugere que eles podem ser o mesmo grupo de ameaças”, disseram os pesquisadores.
"No entanto, o uso comum desses tipos de ferramentas e a troca de ferramentas entre grupos nesta região podem obscurecer os rastros de grupos de ameaças distintas, o que provavelmente é uma das razões pelas quais essa abordagem é adotada, outra sendo o custo, como o desenvolvimento de sistemas sofisticados malware pode ser caro em termos de dinheiro e tempo."
Postar um comentário