Grupo APT plantou backdoors para espionar empresas

Juntamente com a ESET, a Avast analisou amostras de malware usadas em ataques contra uma empresa de telecomunicações, uma companhia de gás e uma instituição governamental

Compartilhar:

A Avast acaba de divulgar uma análise conjunta de um ataque APT dirigido a empresas e instituições da Ásia Central. A Avast trabalhou em conjunto com analistas de malware da ESET, examinando amostras usadas por um grupo APT (Advanced Persistent Threat) que tinha o objetivo de espionar uma empresa de telecomunicações, uma companhia de gás e uma instituição governamental da Ásia Central.

 

O grupo plantou backdoors para obter acesso de longo prazo às redes corporativas. Com base nas análises, a Avast suspeita que o grupo também esteja por trás de ataques ativos na Mongólia, Rússia e Bielorrússia. A Avast acredita que o grupo é da China, devido ao uso do Gh0st RAT – que é conhecido por ser utilizado por grupos chineses de APT, no passado. Além disso, há semelhanças no código que a Avast analisou e no código verificado recentemente em uma campanha atribuída a cibercriminosos chineses.

 

Os backdoors deram aos cibercriminosos capacidades de manipular e excluir arquivos, extrair capturas de tela, alterar processos e serviços, executar comandos de console e se remover. Além disso, alguns comandos podiam instruir os backdoors a extrair dados para um servidor C&C. Os dispositivos infectados também podiam ser controlados por um servidor C&C, para agir como proxy ou escutar por uma porta específica em cada uma das interfaces de rede. O grupo usou ainda ferramentas como Gh0st RAT e instrumentação de gerenciamento, para se mover lateralmente dentro das redes infiltradas.

 

“O grupo por trás do ataque frequentemente recompilou as suas ferramentas personalizadas para evitar a detecção por antivírus que, além de backdoors, incluía Mimikatz e Gh0st RAT. Isso levou a um grande número de amostras, com os binários frequentemente protegidos por VMProtect, tornando a análise mais difícil”, diz Luigino Camastra, pesquisador de malware da Avast. “Com base no que descobrimos e no fato de termos conseguido vincular os elementos desses ataques com os cibercriminosos por trás deles envolvidos em outras localidades, presumimos que esse grupo também estivesse mirando outros países”.

 

A Avast relatou as suas descobertas à equipe CERT local e contatou a empresa de telecomunicações afetada, a qual descobriu que estava sob ataque.

 

Conteúdos Relacionados

Security Report | Overview

Investigação desevenda ciberataques usando botnets vendidos a US$ 100 na dark web

Nova análise da Kaspersky mostra ainda que é possível alugar ou comprar parte do código dessas redes de computadores fantasmas...
Security Report | Overview

Brasil é um dos 7 maiores alvos de ransomware, calcula relatório

Posicionamento da companhia ISH Tecnologia também destaca as principais vulnerabilidades cibernéticas localizadas em 2024 e os grupos criminosos mais atuantes...
Security Report | Overview

ChatGPT integrado pode auxiliar na governança e conformidade de dados?

Netskope ampliou o gerenciamento de riscos ao compliance do chatbot da OpenAI com controles de API visando controlar dados confidenciais
Security Report | Overview

Telecomunicações não foram afetadas por Apagão Cibernético, diz Anatel

Para o órgão de fiscalização, o evento ilustra que, à medida que os diversos setores econômicos passaram por transformação digital,...