DOE AGORA Qualquer valor

Ataques de APT41 prolífico vinculado ao governo chinês

Ataques de APT41 prolífico vinculado ao governo chinês

O APT41, patrocinado pelo estado chinês, está por trás de mais campanhas de ataques cibernéticos do que as conhecidas anteriormente, de acordo com uma nova pesquisa da Unidade de Pesquisa e Inteligência do Blackberry.

Inspirados por detalhes sobre a atividade do Cobalt Strike que usava um perfil de comando e controle (C2) maleável e sob medida, previamente documentado pela FireEye, os pesquisadores perseguiram campanhas de malware que usavam Cobalt Strike com um C&C maleável sob medida. Eles descobriram ligações previamente despercebidas entre os ataques para revelar uma campanha que joga os temores das pessoas sobre a pandemia.

Experiência DevOps

“Pudemos descobrir o que acreditamos ser uma infraestrutura APT41 adicional, pegando esses aspectos únicos e seguindo a trilha de migalhas de pão digital”, disseram os pesquisadores do Blackberry. “Indicadores de compromisso sobrepostos (IoCs) vincularam a trilha de nossas descobertas àquelas de duas campanhas adicionais documentadas por Positive Technologies  e  Prevailion ,” respectivamente, como “ Higaisa ou Winnti? Backdoors APT41, antigos e novos ”e“ The Gh0st permanece o mesmo . ”

Uma vez que a ameaça está na máquina do usuário, ela “se mistura à estrutura digital usando seu próprio perfil personalizado para ocultar o tráfego de rede”, disseram os pesquisadores.

O alcance potencial do APT41 é enorme e o rastreamento eficaz das atividades do grupo requer colaboração entre empresas de segurança. “Com os recursos de um grupo de ameaça em nível de estado-nação, é possível criar um nível verdadeiramente impressionante de diversidade em sua infraestrutura”, escreveram os pesquisadores do BlackBerry. “E embora nenhum grupo de segurança tenha o mesmo nível de financiamento, ao reunir nossa inteligência coletiva, ainda podemos descobrir os rastros que os cibercriminosos envolvidos trabalharam tanto para esconder”.

Vale a pena notar que a atividade do APT 41 “mostra a tendência recente e contínua de vários criminosos e agentes de ameaças do estado-nação que continuam a adotar Cobalt Strike como método de ataque”, disse Sean Nikkel, analista sênior de ameaças cibernéticas da Digital Shadows. “Com o uso tão difundido, a atribuição se torna difícil se baseada apenas em uma ferramenta, e esta pesquisa mostra como os indicadores de comprometimento podem ser importantes em uma investigação.”

O grupo “é um ator prolífico com uma ampla campanha multiplataforma”, disse Kristina Balaam, engenheira sênior de inteligência de segurança da Lookout. “Testemunhamos inúmeras tentativas do ator da ameaça de disfarçar funcionalidades maliciosas em aplicativos que se disfarçam como ferramentas legítimas para dispositivos móveis.” Lookout também observou o grupo tentando “disfarçar o tráfego de rede para a infraestrutura C2, como é discutido no relatório do BlackBerry”, disse Balaam. “Grande parte da infraestrutura APT41 que identificamos nas campanhas de malware do Android hospeda arquivos EXE e PDF maliciosos, além de gerenciar recursos de comando e controle para o malware.”

A Lookout também testemunhou o uso de exploits detalhados pelo BlackBerry pelo APT41 nos ataques do grupo contra usuários de dispositivos móveis, disse Balaam, observando que "muitas de suas ferramentas proprietárias aproveitam as ferramentas de root e explorações conhecidas para obter privilégios escalonados e acesso a informações confidenciais sobre o dispositivo."

Entre os alvos do grupo estão vítimas na Índia que foram atraídas por mensagens supostamente do governo indiano sobre a legislação tributária. “Essas iscas faziam parte de uma cadeia de execução que tinha o objetivo de carregar e executar um Cobalt Strike Beacon na rede da vítima”, disseram os pesquisadores. “As iscas e anexos de phishing também se encaixam em táticas que eram usadas anteriormente em vetores de infecção pelo APT41. Essas descobertas mostram que o grupo APT41 ainda está conduzindo regularmente novas campanhas e que provavelmente continuarão a fazê-lo no futuro. ”

Nikkel achou convincente “que o APT41 parece ainda usar táticas testadas e comprovadas em engenharia social e distribuição de malware”. Embora documentos armados e scripts Powershell ocultos não sejam novos, “o fato de este grupo continuar a usá-los ressalta a ideia de que as táticas ainda funcionam”, disse ele. “Os defensores devem procurar domínios estranhos ou suspeitos no tráfego de rede que abusam da confiança, como Microsoft falsificado ou provedor semelhante e domínios em nuvem.”

Comentários

Ebook

Postagens mais visitadas