0
0
O cenário de ameaça APT é um saco misto de táticas experimentadas e verdadeiras e técnicas de ponta, em grande parte sobrecarregadas pela geopolítica, segundo um relatório.
Grupos avançados de ameaças persistentes (APT) continuam a usar a névoa da geopolítica intensa para sobrecarregar suas campanhas, mas além desses temas, os atores estão desenvolvendo táticas individuais de assinatura para o sucesso.
Isso de acordo com o relatório de tendências APT mais recente da Kaspersky para o terceiro trimestre de 2020, que descobriu que alguns grupos estão inovando e empurrando limites técnicos, enquanto outros tomam uma abordagem mais de baixa tecnologia, aprimorando mensagens em torno do COVID, as eleições e outras manchetes.
“Enquanto alguns atores de ameaças permanecem consistentes ao longo do tempo e simplesmente procuram usar tópicos quentes como o COVID-19 para atrair as vítimas a baixar anexos maliciosos, outros grupos se reinventam e seus conjuntos de ferramentas”, disse Ariel Jungheit, pesquisadora sênior de segurança da Equipe Global de Pesquisa e Análise da Kaspersky. “O escopo ampliado das plataformas atacadas, o trabalho contínuo em novas cadeias de infecção e o uso de serviços legítimos como parte de sua infraestrutura de ataque, é algo que testemunhamos no último trimestre.”
Essas abordagens divergentes foram melhor representadas por dois grupos em particular, segundo o relatório; DeathStalker e MosaicRegressor.
DeathStalker
O DeathStalker, segundo o relatório, tem sido bem sucedido usando as mesmas táticas desde 2018 para atingir escritórios de advocacia e empresas do setor financeiro.
“O interesse do grupo em coletar informações comerciais confidenciais nos leva a acreditar que o DeathStalker é um grupo de mercenários que oferecem serviços de hacking por aluguel ou atuando como um corretor de informações nos círculos financeiros”, segundo o relatório. “As atividades deste ator de ameaça vieram à nossa atenção pela primeira vez através de um implante baseado no PowerShell chamado Powersing.”
Mas, embora essa abordagem esteja mais focada em mensagens em torno de manchetes para e-mails de phishing, o relatório acrescentou que alguns desenvolvimentos técnicos para as campanhas do DeathStalker não valem nada.
“Por exemplo, o malware se conecta diretamente a um servidor de comando e controle (C2) usando um endereço IP incorporado ou nome de domínio, em oposição às variantes anteriores, onde fez uso de pelo menos dois DDRs (Dead-drop resolves, resolvedores de gotas mortas) ou serviços web, como fóruns e plataformas de compartilhamento de códigos, para buscar o endereço ou domínio IP C2 real”, explicou o relatório. “Curiosamente, para esta campanha, os atacantes não se limitaram apenas ao envio de e-mails de phishing, mas ativamente engajaram as vítimas através de vários e-mails, persuadindo-as a abrir a isca, para aumentar a chance de compromisso.”
Os pesquisadores acrescentaram que esta foi a primeira vez que observaram um ator malicioso usando técnicas avançadas para contornar a segurança, bem como “soltando binários de PE para carregar o EvilNum”.
A equipe da Kaspersky também notou que eles suspeitam que o DeathStalker está usando um novo implante PowerShell que eles chamaram de “PowerPepper”.
“O fluxo de trabalho de entrega usa um documento do Microsoft Word e descarta um implante PowerShell até então desconhecido que depende do DNS sobre HTTPS (DoH) como um canal C2”, diz o relatório.
O DeathStalker representa um conjunto relativamente básico de técnicas, táticas e procedimentos (TTPs) — enquanto o implante UEFI da MosaicRegressor ocupa a extremidade mais tecnológica do espectro APT.
MosaicRegressor
No início de outubro, pesquisadores da Kasperky relataram a descoberta de “imagens de firmware UEFI desonestos“, modificadas para fornecer malware, que a equipe chamou de “MosaicRegressor” como parte de uma estrutura mais ampla. Componentes do quadro MosaicRegressor fizeram parte de ataques lançados contra diplomatas e organizações não governamentais africanas, asiáticas e europeias e remontam à Coreia do Norte.
UEFI é uma especificação que constitui a estrutura e o funcionamento do firmware de plataforma de baixo nível, incluindo o carregamento do próprio sistema operacional. Ele também pode ser usado quando o SO já está funcionando, por exemplo, a fim de atualizar o firmware. O bootkit de firmware UEFI que faz parte do MosaicRegressor carrega o próprio sistema operacional, o que significa que um ator de ameaças pode modificar o sistema para carregar malware que será executado após o sistema operacional ser carregado. Assim, ele será resistente à reinstalação do sistema operacional ou mesmo à substituição do disco rígido, disseram os pesquisadores.
O relatório acrescentou que os ataques da APT aumentaram nas últimas semanas no Sudeste Asiático, no Oriente Médio e em “várias regiões afetadas pelas atividades de grupos APT de língua chinesa”.
“No geral, o que isso significa para especialistas em segurança cibernética é o seguinte: os defensores precisam investir recursos na caça de atividades maliciosas em ambientes novos, possivelmente legítimos, que foram menos examinados no passado”, concluiu Jungheit. Isso inclui malware que é escrito em linguagens de programação menos conhecidas, bem como através de serviços legítimos em nuvem. Acompanhar as atividades dos atores e os TTPs nos permite seguir à medida que adaptam novas técnicas e ferramentas e, assim, nos preparar para reagir a novos ataques a tempo.”
FONTE: THREATPOST