Novo agente de ameaças APT é descoberto

White Company possui recursos consideráveis, o que corrobora a probabilidade de que a organização faça parte de um grupo patrocinado por uma nação

Compartilhar:

A Cylance divulgou a primeira de uma série de relatórios de pesquisa que exploram a identificação e o rastreamento de um novo – e provavelmente patrocinado por algum país – agente de ameaças cujo perfil não corresponde a qualquer um dos grupos de ameaça persistente avançada (APT) estabelecidos.

 

As descobertas preliminares detalham uma das recentes campanhas do grupo, um esforço de um ano de espionagem dirigido à Força Aérea do Paquistão. A empresa batizou a campanha de Operação Shaheen e a organização de White Company – em reconhecimento às muitas e elaboradas medidas que a organização toma para encobrir (whitewash) todos os sinais de sua atividade e evitar a incriminação.

 

A Força Aérea do Paquistão não é apenas uma parte integrante do sistema de segurança nacional do país – incluindo seu programa de armas nucleares –, mas também é a sede recém-anunciada do Centro Nacional de Segurança Cibernética do país. Uma operação de espionagem bem-sucedida contra tal alvo poderia produzir uma visão tática e estratégica significativa para uma série de potências estrangeiras.

 

Pesquisadores da companhia descobriram evidências indicando que a White Company possui recursos consideráveis, o que corrobora a probabilidade de que a organização faça parte de um grupo patrocinado por uma nação:

 

-Acesso a desenvolvedores de exploits de dia zero e (potencialmente) exploits de dia zero;

 

-Um sistema de construção de exploits complexo e automatizado;

 

-A capacidade de modificar, refinar e desenvolver exploits para atender às necessidades específicas da missão;

 

-A capacidade de reconhecimento avançado de alvos.

 

A equipe de inteligência de ameaças da Cylance analisou uma grande parte do pacote de exploits da White Company, que nesse caso envolveu um minucioso exame das instruções em linguagem de máquina incorporadas em uma amostra de aproximadamente 30 exploits. A marcação genética e o mapeamento de 42 recursos exclusivos permitiram que os pesquisadores acompanhassem o desenvolvimento, a modificação e a evolução do kit de exploração ao longo do tempo, permitindo que a Cylance vinculasse a White Company a outras campanhas anteriormente não identificadas ou atribuídas incorretamente.

 

A White Company é o primeiro agente de ameaças que a Cylance encontrou que atinge e efetivamente evita vários antivírus – incluindo Sophos, ESET, Kaspersky, BitDefender, Avira, Avast e Quick Heal – antes de colocá-los contra seus proprietários, deliberadamente entregando-se a eles em datas específicas para distrair, atrasar e desviar recursos.

 

A evasão dos antivírus é apenas uma das várias medidas empregadas pela White Company para escapar da atribuição. Outros métodos incluem:

 

• Dentro do exploit: quatro maneiras diferentes de verificar se o malware estava no sistema de um analista ou investigador; a capacidade de limpar o Word e lançar um documento falso para reduzir as suspeitas, e a capacidade de excluir-se inteiramente do sistema de destino.

 

• Dentro do malware: cinco técnicas de empacotamento diferentes que abrigavam o payload final em uma série de camadas de “bonecas matrioska”; formas adicionais de verificar se o malware estava no sistema de um analista ou investigador; payload de códigos abertos e técnicas de ofuscação; o uso de infraestrutura de rede comprometida para comando e controle.

 

Os relatórios futuros da série aprofundarão o malware e a infraestrutura associados a essas e outras campanhas da White Company, ao mesmo tempo que compartilharão uma análise sofisticada dos dados técnicos estruturais.

 

Conteúdos Relacionados

Security Report | Overview

Segurança na Saúde: custo médio de ciberataques atinge 5,3 milhões de dólares

No Brasil, Líder em ataques cibernéticos na América Latina e um dos cinco países mais visados no mundo, o setor...
Security Report | Overview

Segurança democratizada será uma das tendências de 2025, diz estudo

Gerenciar riscos cibernéticos em todos os níveis da força de trabalho – e não restringí-los apenas aos níveis mais altos...
Security Report | Overview

Como as mudanças anunciadas pela Meta podem impactar a Cibersegurança?

Políticas refeitas da plataforma representam um novo cenário em termos de cuidados contra golpes e riscos de segurança cibernética, alerta...
Security Report | Overview

Relatório aponta vulnerabilidades críticas em sistemas Microsoft, Cisco e Windows

A Redbelt Security também emitiu um alerta sobre o aumento de campanhas de phishing que utilizam táticas inovadoras para contornar...