Global Preloader
Vulnerabilidad
(18/Jul/2019) Los hackers del grupo Ke3chang utilizan un nuevo backdoor para realizar ataques.

Los hackers del grupo Ke3chang utilizan un nuevo backdoor para realizar ataques.

Existe grupo de ciberdelincuentes conocido como Ke3chang (APT15) debido a sus diversas campañas de ciberespionaje y por haber explotado la vulnerabilidad de Microsoft office con un ataque RAT entre el 2012 y 2015.

El día de hoy, investigadores de ESET descubrieron un backdoor llamado Okrum gracias a la actualización de un malware, el cual es operado por el grupo de hackers APT15.

 “Okrum no es técnicamente complejo, pero ciertamente podemos ver que los actores maliciosos detrás de él intentaron permanecer sin ser detectados mediante el uso de tácticas como incrustar la carga maliciosa dentro de una imagen PNG legítima, empleando varios trucos antiemulación y anti-sandbox”, señaló Zuzana Hromcova quien es investigadora de ESET.

Una vez que el backdoor llega al ordenador de la vícitma, Okrum puede obtener el derecho de administrador llamando a la API ImpersonateLoggedOnUse para recopilar la información del sistema; nombre del usuario, dirección IP del host, primary DNS suffix value, la versión, el número de compilación y la arquitectura.

Los datos recolectados son enviados con el servidor C2 con la finalidad de que el atacante pueda tener un registro de la computadora infectada.

Más detalles:

https://www.scmagazineuk.com/ke3chang-apt-group-drops-okrum-backdoor-bomb-diplomatic-targets/article/1591439