0
0
O grupo de ameaças persistentes avançadas Blackfly (APT) da China atingiu recentemente duas subsidiárias de um conglomerado asiático no setor de materiais e compósitos com ataques cibernéticos. Os pesquisadores dizem que faz parte de um ataque mais amplo e “implacável” de vários setores da região com o objetivo de roubar propriedade intelectual (PI).
De acordo com uma postagem de blog publicada hoje por pesquisadores da Symantec (que pertence à Broadcom Software), a atividade mais recente do Blackfly (também conhecido como APT41, Winnti Group ou Bronze Atlas) ocorreu no final do ano passado e no início deste ano, e mostra que o grupo confiando mais em ferramentas de código aberto do que em seu tesouro usual de malware personalizado. Essa tendência é refletida por outros grupos de ameaças que visam a região, que tem sido um foco de atividade. Na semana passada, por exemplo, pesquisadores da Symantec revelaram um novo grupo de ameaças apelidado de Hydrochasma, direcionado a organizações da Ásia associadas a tratamentos e vacinas COVID-19 em uma operação de coleta de informações – usando apenas malware e ferramentas de código aberto e commodities.
Dick O’Brien, principal analista de inteligência da Symantec Threat Hunter, disse a Dark Reading que isso coloca as incursões do Blackfly em contexto. “Esta investigação é uma pequena peça do quebra-cabeça”, diz ele. “O quadro geral é que parece haver uma operação de inteligência implacável em andamento em várias frentes.”
A tática das ferramentas de código aberto os ajuda a evitar a detecção, o que, no caso do Blackfly – cujos membros já foram indiciados pelo governo dos EUA – seria uma proposta atraente, diz O’Brien.
“Essa mudança em direção a ferramentas de código aberto é algo que vimos muitos invasores fazendo”, disse ele ao Dark Reading. “Isso torna os ataques mais difíceis de atribuir.”
Não um, mas dois grupos de ameaças
O Blackfly é um dos grupos de ameaças mais antigos que operam fora da China. O grupo originalmente ganhou notoriedade atacando a indústria de jogos, mas evoluiu para atingir uma gama diversificada de organizações e setores, incluindo sistemas de controle industrial , semicondutores, telecomunicações, farmacêutico, mídia e publicidade, hospitalidade e muito mais, disseram os pesquisadores.
Diferentes grupos de pesquisa rastreiam o APT usando diferentes apelidos. Na verdade, alguns usam o rótulo guarda-chuva APT41 para denotar não apenas Blackfly, mas também outro APT apoiado pela China, conhecido como Grayfly , porque os dois grupos estão intimamente associados. Em 2020, o governo dos EUA indiciou sete homens por acusações relacionadas a centenas de ataques cibernéticos realizados por ambos os grupos, o que destacou a ligação entre eles ao identificar dois cidadãos chineses que supostamente trabalharam com ambos, disseram os pesquisadores.
Como os especialistas em segurança já previram , a atenção pública dessa acusação no APT41 aparentemente não fez nada para deter o grupo, que continua sua investida na tentativa de roubar IP de vários setores de negócios, diz O’Brien.
“O Blackfly e vários de seus pares estiveram altamente ativos nos últimos 12 meses”, diz ele.
Uma mudança para ferramentas de ataque cibernético de código aberto
Embora os ataques mais recentes continuem os padrões de atividade que os pesquisadores observaram no Blackfly nos últimos anos, como mencionado, um novo aspecto é o uso de ferramentas de código aberto que não eram uma marca registrada da atividade anterior, diz O’Brien.
Os primeiros ataques do Blackfly foram distinguidos pelo uso das famílias de malware PlugX/Fast/Korplug, Winnti/Pasteboy e ShadowPad . O backdoor do Winnti e outras ferramentas personalizadas foram usadas na recente onda de ataques (para fazer capturas de tela, despejar credenciais, consultar bancos de dados SQL e configurar proxies), mas o Blackfly também usou pela primeira vez uma prova de conceito de código aberto ( PoC) chamado ForkPlayground para criar um despejo de memória de um processo arbitrário e a ferramenta de despejo de credenciais disponível publicamente Mimikatz.
“Embora a sofisticação técnica do grupo tenha permanecido consistente, houve uma atualização regular de seu conjunto de ferramentas, sem dúvida em uma tentativa de ficar à frente da detecção”, observa O’Brien.
Protegendo a empresa contra APTs chineses
A Symantec aconselha o uso de uma estratégia geral de defesa aprofundada e a adoção de autenticação multifator (MFA) em toda a rede corporativa para ajudar a evitar o comprometimento do Blackfly e de outros APTs destinados a roubar IP. Isso envolve “o uso de várias tecnologias de detecção, proteção e proteção para mitigar o risco em cada ponto da cadeia de ataque potencial”, diz O’Brien.
As organizações também devem monitorar o uso de ferramentas de uso duplo dentro da rede corporativa e garantir que a versão mais recente do PowerShell seja implantada, além de habilitar o registro e permitir apenas o protocolo de área de trabalho remota (RDP) de endereços IP conhecidos específicos, acrescenta.
A auditoria e o controle adequados do uso da conta administrativa também podem ajudar as organizações a evitar ataques, além de introduzir uma política de credenciais únicas para trabalho administrativo na rede “para ajudar a evitar roubo e uso indevido de credenciais de administrador”, diz O’Brien.
“Também sugerimos a criação de perfis de uso para ferramentas administrativas”, acrescenta. “Muitas dessas ferramentas são usadas por invasores para se mover lateralmente sem serem detectados por uma rede”.
FONTE: DARK READING