0
0
Um grupo criminoso, que já roubou quase US$ 11 milhões ao se especializar em ataques direcionados contra o setor financeiro, tem bancos africanos de língua francesa na mira em uma campanha recente que demonstra uma evolução nas táticas, descobriram pesquisadores.
A Bluebottle, também conhecida como OPERA1ER , comprometeu três instituições financeiras diferentes em três países africanos separados entre meados de julho e setembro, afetando várias máquinas em todas as três organizações, revelaram pesquisadores da Symantec em um post de blog publicado em 5 de janeiro.
Embora não esteja claro se o grupo conseguiu capitalizar financeiramente com a atividade, é significativo porque as diferentes cargas úteis e outras táticas que a Bluebottle usou na campanha variam das ofensivas anteriores do grupo, disse Sylvester Segura, analista de inteligência de ameaças da Symantec, ao Dark Reading.
Em particular, a Bluebottle usou o malware commodity GuLoader e arquivos ISO maliciosos nos estágios iniciais do ataque – o que não havia feito antes – bem como drivers de kernel abusados com um driver assinado que foi vinculado a outros ataques, como ransomware, Segura diz.
Tudo isso “indica que o grupo Bluebottle está se mantendo atualizado com as ferramentas e técnicas que outros agentes de ameaças estão usando atualmente”, diz ele. “Eles podem não ser os mais avançados, mas esta atividade mais recente prova que eles estão seguindo as tendências dos invasores em ferramentas e técnicas”.
De fato, o uso de motoristas assinados em particular mostra que a Bluebottle – um grupo motivado financeiramente observado pela primeira vez em 2019 – pretende melhorar seu jogo nesta última onda de atividade, forçando as empresas a fazer o mesmo em termos de manobras defensivas, diz Segura.
“Cada vez mais invasores ‘menos avançados’ estão cientes do impacto que podem ter ao desabilitar as soluções de detecção por vários meios, como o uso de drivers assinados”, observa ele. “Para evitar que a confiança que depositamos em softwares como drivers assinados se torne um ponto único de falha, as empresas precisam empregar o máximo de camadas de detecção e proteção que puderem.”
Acompanhando o Bluebottle
O Group-IB começou a rastrear o Bluebottle, que chama de OPERA1ER, em atividades que duraram de meados de 2019 a 2021. Durante esse período, o grupo roubou pelo menos US$ 11 milhões em 30 ataques direcionados, disseram pesquisadores em um relatório publicado em Novembro. O grupo geralmente se infiltra em uma organização financeira e se move lateralmente, coletando credenciais que podem ser usadas para transferências fraudulentas e outras atividades de roubo de fundos.A atividade que a Symantec observou começou em meados de julho, quando os pesquisadores detectaram malware com tema de trabalho em um dos sistemas infectados, que eles acreditam ter sido resultado de uma campanha de spear phishing– embora eles tenham dito que não têm certeza da identidade do grupo. ponto de entrada inicial.“Eles provavelmente funcionaram como iscas”, escreveram os pesquisadores no post. “Em alguns casos, o malware foi nomeado para induzir o usuário a pensar que era um arquivo PDF”.Os pesquisadores da Symantec vincularam o grupo à atividade anterior do OPERA1ER relatada pelo Group-1B porque compartilhava o mesmo domínio, usava ferramentas semelhantes, não incluía malware personalizado e também visava nações francófonas na África, disseram eles.
Vivendo da Terra
Depois de perceber o malware com tema de trabalho, os pesquisadores observaram a implantação de um downloader antes de detectar o hacktool comercial Sharphound, bem como uma ferramenta chamada fakelogonscreen, disseram os pesquisadores. Então, cerca de três semanas após esse comprometimento inicial, os pesquisadores viram invasores usando um prompt de comando e o PsExec para movimentos laterais.”Parece que os atacantes estavam ‘mãos no teclado’ neste ponto do ataque”, escreveram os pesquisadores no post, usando várias ferramentas de uso duplo e vivendo fora da terra (LotL) para vários propósitos durante sua ocupação. da rede.Essas ferramentas incluíam Quser para descoberta de usuários, Ping para verificar conectividade com a Internet, Ngrok para encapsulamento de rede, Net localgroup/add para adicionar usuários, o cliente Fortinet VPN mais provável para um canal de acesso secundário, Xcopy para copiar arquivos wrapper RDP e Netsh para abrir porta 3389 no firewall, entre várias outras.Como mencionado anteriormente, a Bluebottle também usou ferramentas de commodities GuLoader, bem como Mimikatz, Revealer Keylogger, Backdoor.Cobalt, Netwire RAT e a DLL e driver maliciosos para eliminar processos durante suas atividades, juntamente com “vários outros arquivos desconhecidos”, escreveram os pesquisadores .Algumas das ferramentas – como o GuLoader – foram implantadas nas três vítimas; outra atividade que ligava as três vítimas incluía o uso do mesmo downloader .NET, driver malicioso e pelo menos um URL transfer[.]sh sobreposto, disseram eles.Os pesquisadores observaram a última atividade na rede comprometida em setembro; no entanto, a ferramenta de tunelamento Ngrok permaneceu na rede até novembro, disseram eles.
Como as empresas podem responder
Como a Bluebottle usa principalmente RATs de commodities e outros malwares em suas atividades, as empresas podem atenuar os ataques desse grupo de ameaças garantindo uma boa proteção de endpoint contra essas ameaças, diz Segura.“Além disso, uma solução estendida de detecção e resposta também deve ajudar a detectar o abuso de ferramentas terrestres como o PsExec durante a tentativa de movimento lateral”, diz ele.Como a Bluebottle normalmente busca credenciais imediatamente em seus ataques para obter ganhos financeiros, a autenticação multifatorial também pode ajudar muito as empresas a proteger contas e monitorar atividades suspeitas de contas, diz Segura.Outras medidas que as empresas podem tomar para combater a atividade do Bluebottle incluem especificamente a permissão de aplicativos que “ajudarão a impedir o uso malicioso de ferramentas de uso duplo como o Ngrok, que eles usam para ocultar sua presença”, diz ele.”Finalmente, treinar os funcionários para procurar phishing e outros e-mails maliciosos será crucial para impedir que um grupo como esse se intrometa em primeiro lugar”, acrescenta Segura.
FONTE: DARK READING