Un troyano de acceso remoto RAT, conocido como Hackers Door ha resurgido en infecciones activas después de haber sido visto la última vez en 2004-2005
Según los expertos de Cylance, que vio las infecciones de la puerta de la reciente Hacker, el malware "fue firmado con un certificado robado, conocido por ser utilizado por el grupo de APT Winnti", es decir, la nueva versión es utilizado por el estado-nación para el ciberespionaje económico campañas de espionaje.Los investigadores dicen que el malware ha sido actualizado para trabajar en arquitecturas de 64 bits y se puede ejecutar en las versiones más recientes de Windows, como Windows 7 y Windows 8.1.
Los investigadores rastrearon el malware de Hackers Door en un blog chino donde su autor había estado ofreciendo esta nueva versión para su descarga desde al menos el año 2015 de junio enlace de Google Translate.
En la actualidad, el enlace de descarga está muerto y su autor está vendiendo el malware en privado.
Un comentario en el sitio sugiere que la brecha en el desarrollo de la puerta del Hacker (v1.0 lanzado en 2004, lanzado en 2005 v1.1, v1.2 y lanzado en 2015) puede haber ocurrido porque el autor del rat (un hombre que va por el nombre de ytt_hac) podría haber ido a la cárcel durante ese tiempo.
No obstante, el hecho de que las muestras de puertas reciente de Hacker fueron firmados por certificados utilizados en el pasado por Winnti sugiere el grupo ciberespionaje ha comprado o conseguido sus manos en una nueva versión de esta herramienta.
No es raro que los grupos de la APT usen su software malicioso run-of-the-mill, siendo esta una buena técnica para ocultar las operaciones de APT entre el gran número de detecciones de malware mundanas.
En el pasado, el grupo Winnti se ha dirigido a las empresas del sector del juego y farmacéutica, y los activistas tibetanos. Los recientes ataques con malware Winnti Puerta de Hacker se han dirigido a las entidades del sector aeroespacial.
Winnti es también famoso por el desarrollo / implementación de varias otras familias de malware, como PlugX, HDRoot, Tengo el mismo nombre de malware Winnti y llave del mal, sólo para nombrar unos pocos. Otras empresas de seguridad también rastrean el grupo Winnti bajo el nombre de Blackfly o G0044.
A nivel técnico, Hackers Door viene con las siguientes características:
- comunicarse con un servidor C & C a distancia
- Reunir información del sistema
- Tomar capturas de pantalla
- Buscar y robar archivos
- Descarga malware adicional
- Los procesos y los comandos
- Lista y matar procesos
- Abrir Telnet y conexiones RDP
- Extraer las credenciales de Windows en la sesión actual
- Un rootkit componente para la persistencia
