Grupo APT plantou backdoors para espionar empresas

Juntamente com a ESET, a Avast analisou amostras de malware usadas em ataques contra uma empresa de telecomunicações, uma companhia de gás e uma instituição governamental

Compartilhar:

A Avast acaba de divulgar uma análise conjunta de um ataque APT dirigido a empresas e instituições da Ásia Central. A Avast trabalhou em conjunto com analistas de malware da ESET, examinando amostras usadas por um grupo APT (Advanced Persistent Threat) que tinha o objetivo de espionar uma empresa de telecomunicações, uma companhia de gás e uma instituição governamental da Ásia Central.

 

O grupo plantou backdoors para obter acesso de longo prazo às redes corporativas. Com base nas análises, a Avast suspeita que o grupo também esteja por trás de ataques ativos na Mongólia, Rússia e Bielorrússia. A Avast acredita que o grupo é da China, devido ao uso do Gh0st RAT – que é conhecido por ser utilizado por grupos chineses de APT, no passado. Além disso, há semelhanças no código que a Avast analisou e no código verificado recentemente em uma campanha atribuída a cibercriminosos chineses.

 

Os backdoors deram aos cibercriminosos capacidades de manipular e excluir arquivos, extrair capturas de tela, alterar processos e serviços, executar comandos de console e se remover. Além disso, alguns comandos podiam instruir os backdoors a extrair dados para um servidor C&C. Os dispositivos infectados também podiam ser controlados por um servidor C&C, para agir como proxy ou escutar por uma porta específica em cada uma das interfaces de rede. O grupo usou ainda ferramentas como Gh0st RAT e instrumentação de gerenciamento, para se mover lateralmente dentro das redes infiltradas.

 

“O grupo por trás do ataque frequentemente recompilou as suas ferramentas personalizadas para evitar a detecção por antivírus que, além de backdoors, incluía Mimikatz e Gh0st RAT. Isso levou a um grande número de amostras, com os binários frequentemente protegidos por VMProtect, tornando a análise mais difícil”, diz Luigino Camastra, pesquisador de malware da Avast. “Com base no que descobrimos e no fato de termos conseguido vincular os elementos desses ataques com os cibercriminosos por trás deles envolvidos em outras localidades, presumimos que esse grupo também estivesse mirando outros países”.

 

A Avast relatou as suas descobertas à equipe CERT local e contatou a empresa de telecomunicações afetada, a qual descobriu que estava sob ataque.

 

Destaques

Colunas & Blogs

Conteúdos Relacionados

Security Report | Overview

Threat Intel detecta nova técnica de ransomware executado pelo navegador

Especialistas mostram que modelo de IA conectou recursos legítimos do navegador para construir uma cadeia prática de ataque sem exploração...
Security Report | Overview

Project Lightwell: Players de TI formam parceria contra vulnerabilidades de software

Parceria une descoberta de falhas, aplicação de patches virtuais e remediação automatizada para neutralizar ameaças Cibernéticas na velocidade da inteligência...
Security Report | Overview

ANPD abre processo sancionador contra instituto de saúde por vazamento de dados

Ataque cibernético de ransomware expôs dados sensíveis de saúde de usuários de unidades públicas geridas pelo Instituto Saúde e Cidadania....
Security Report | Overview

Defesa Civil: MFA se torna demanda urgente, alerta inteligência de ameaças

Especialistas alertam para os riscos do uso de credenciais legítimas comprometidas em sistemas críticos e destacam a urgência de aplicar...