Grupo APT plantou backdoors para espionar empresas

Juntamente com a ESET, a Avast analisou amostras de malware usadas em ataques contra uma empresa de telecomunicações, uma companhia de gás e uma instituição governamental

Compartilhar:

A Avast acaba de divulgar uma análise conjunta de um ataque APT dirigido a empresas e instituições da Ásia Central. A Avast trabalhou em conjunto com analistas de malware da ESET, examinando amostras usadas por um grupo APT (Advanced Persistent Threat) que tinha o objetivo de espionar uma empresa de telecomunicações, uma companhia de gás e uma instituição governamental da Ásia Central.

 

O grupo plantou backdoors para obter acesso de longo prazo às redes corporativas. Com base nas análises, a Avast suspeita que o grupo também esteja por trás de ataques ativos na Mongólia, Rússia e Bielorrússia. A Avast acredita que o grupo é da China, devido ao uso do Gh0st RAT – que é conhecido por ser utilizado por grupos chineses de APT, no passado. Além disso, há semelhanças no código que a Avast analisou e no código verificado recentemente em uma campanha atribuída a cibercriminosos chineses.

 

Os backdoors deram aos cibercriminosos capacidades de manipular e excluir arquivos, extrair capturas de tela, alterar processos e serviços, executar comandos de console e se remover. Além disso, alguns comandos podiam instruir os backdoors a extrair dados para um servidor C&C. Os dispositivos infectados também podiam ser controlados por um servidor C&C, para agir como proxy ou escutar por uma porta específica em cada uma das interfaces de rede. O grupo usou ainda ferramentas como Gh0st RAT e instrumentação de gerenciamento, para se mover lateralmente dentro das redes infiltradas.

 

“O grupo por trás do ataque frequentemente recompilou as suas ferramentas personalizadas para evitar a detecção por antivírus que, além de backdoors, incluía Mimikatz e Gh0st RAT. Isso levou a um grande número de amostras, com os binários frequentemente protegidos por VMProtect, tornando a análise mais difícil”, diz Luigino Camastra, pesquisador de malware da Avast. “Com base no que descobrimos e no fato de termos conseguido vincular os elementos desses ataques com os cibercriminosos por trás deles envolvidos em outras localidades, presumimos que esse grupo também estivesse mirando outros países”.

 

A Avast relatou as suas descobertas à equipe CERT local e contatou a empresa de telecomunicações afetada, a qual descobriu que estava sob ataque.

 

Destaques

Colunas & Blogs

Conteúdos Relacionados

Security Report | Overview

Segurança de IA evolui do controle de acesso ao monitoramento comportamental

Relatório da Check Point Software aponta que apenas 26% das empresas conseguem aplicar suas estratégias de segurança para IA na...
Security Report | Overview

60% das empresas brasileiras admitem falta de governança sobre IA, diz estudo

Relatório global aponta que o avanço da shadow AI e a falta de governança corporativa em ferramentas autônomas estão ampliando...
Security Report | Overview

7,4 milhões de incidentes detectados em redes de proxy residencial

Estudo da Avast revela que cibercriminosos usam conexões domésticas legítimas como disfarce para fraudes e phishing; Brasil é o terceiro...
Security Report | Overview

Ministério da Gestão e Inovação publica guias orientativos de SI para população

Iniciativa inclui uma revista em quadrinhos para a população e duas publicações para ajudar quem atua com tecnologia no serviço...