A equipe de pesquisadores da McAfee descobriu, com base no McAfee® Global Threat Intelligence, uma nova ameaça global que tem como alvo companhias de setores críticos como energia, energia nuclear, financeiro e de defesa.
Essa campanha, intitulada Operação Sharpshooter, utiliza um implante na memória para baixar e recuperar um implante de segundo estágio, chamado pela McAfee de Rising Sun, para explorar ainda mais os atacados. Para atingir esse objetivo, a campanha adota um disfarce de uma legítima atividade de seleção para vagas de trabalho no setor.
De acordo com a telemetria e análise dos profissionais da McAfee, entre outubro e novembro deste ano o ataque foi verificado em 87 organizações ao redor do mundo, principalmente nos Estados Unidos. Com base em outras campanhas de comportamento similar, a maior parte das organizações visadas tem o inglês como idioma principal ou tem um escritório regional com esse idioma como principal.
Esse agente utilizou o recrutamento como isca para coletar informações sobre indivíduos de interesse ou organizações que gerenciam dados relacionados aos setores de interesse. A equipe McAfee Advanced Threat Research observou que a maioria dos alvos foram organizações de defesa e organizações relacionadas a repartições governamentais.
De acordo com a análise da McAfee, o implante Rising Sun, utiliza o código-fonte do Trojan Duuzer de backdoor, criado pelo Lazarus Group em 2015 (a quem se atribuiu a coordenação do ataque WannaCry), com uma nova estrutura para se infiltrar nesses importantes setores.
As ligações da Operação Sharpshooter ao Lazarus Group, de acordo com os pesquisadores, parecem óbvias demais para concluir de imediato que o temido grupo seja responsável, indicando possíveis sinais falsos. É comum que cada grupo de ataque tenha suas próprias características, por isso, a pesquisa se concentra como esses criminosos cibernéticos operam, o impacto global que causariam e como detectar o ataque.
Impacto global
A descoberta desse novo implante de alta funcionalidade é mais um exemplo de como os ataques direcionados tentam obter informações de inteligência. O malware se movimenta em diversas etapas. O vetor de ataque inicial é um documento que contém um macro armado para baixar a próxima etapa, que é executada na memória e coleta informações de inteligência. Os dados da vítima são enviados para um servidor de controle para ser monitorado pelos agentes, que, por sua vez, determinam as próximas etapas.
Os pesquisadores da McAfee dizem que nunca tinham observado esse implante antes e questionam se esse ataque foi só uma operação inicial de reconhecimento ou se haverá outros. A empresa continuará monitorando a campanha e anunciará se houver outros acontecimentos. A equipe McAfee Advanced Threat Research encoraja demais profissionais das áreas de segurança a compartilhar suas informações sobre a campanha e sobre quem é responsável pela Operação Sharpshooter.
