Notícias de dispositivos móveis, gadgets, aplicativos Android

APT34 emprega documentos Word armados para implantar nova cepa de malware

APT34 √© um grupo secreto de ciberespionagem especializado em alvos no Oriente M√©dio, conhecido por coletar informa√ß√Ķes confidenciais por meio de spear phishing e m√©todos avan√ßados de infiltra√ß√£o.

A sofisticação e os recursos abrangentes do grupo APT34 representam uma grande ameaça à segurança cibernética regional e global.

Eles conduziram ataques cibernéticos de alto perfil no Oriente Médio contra diversos alvos:-

  • Ag√™ncias governamentais
  • Infraestrutura cr√≠tica
  • Telecomunica√ß√Ķes
  • Principais entidades regionais

Pesquisadores de segurança cibernética da Trend Micro recentemente detectou um novo Malware associado ao APT34, apelidado de Menorah, em um ataque de phishing em agosto.

Este malware recém-identificado foi entregue através de um documento malicioso e criado especificamente para atividades de espionagem cibernética com os seguintes recursos:-

  • Identifica√ß√£o da M√°quina
  • Ler arquivos
  • Fazer upload de arquivos
  • Baixar arquivos
  • Baixe malware adicional

Documento

Cadeia de infecção

Quando uma vítima abre um documento malicioso, inicia-se a cadeia de infecção, o que desencadeia a criação de uma tarefa agendada que estabelece a persistência.

Embora as macros ocultas presentes no documento coloquem um malware .NET chamado ‚ÄúMenorah.exe‚ÄĚ no seguinte diret√≥rio: ‚Äď

  • <%ALLUSERSPROFILE%\Office356>

Em seguida, ele agenda Menorah.exe para ser executado com o nome ‚ÄúOneDriveStandaloneUpdater‚ÄĚ, com algumas macros manipulando manipula√ß√£o de strings, decodifica√ß√£o e cria√ß√£o de tarefas.

APT34: Documentos Word maliciosos

O malware .NET no documento malicioso é excelente em espionagem cibernética, com habilidades como impressão digital, manipulação de arquivos e comandos remotos.

A variante mais recente do SideTwist aumenta a furtividade com hashing de tráfego aprimorado e começa com uma verificação precisa de argumentos.

Sem o argumento, o malware para de funcionar, permitindo que ele evite a detecção em ambientes analíticos como sandboxes.

Os analistas encontraram o servidor C&C e um cron√īmetro em http[:]//tecforsc-001-site1[.]gtempurl.com/ads.asp, usado para comunica√ß√£o a cada 32 segundos. O malware identifica a m√°quina como {MachineNameUsername}, codificando-a para calcular o hash MD5.

O hash MD5 e o formato {MachineNameUsername} são XORed com uma string, codificados em Base64 e enviados ao servidor C&C por meio de uma solicitação HTTP como uma impressão digital do sistema.

Durante a an√°lise, previu-se que o servidor C&C inativo retornaria uma mensagem criptografada, provavelmente codificada em Base64.

A mensagem descriptografada √© dividida em uma matriz, com cada valor ditando a√ß√Ķes espec√≠ficas do malware.

O desenvolvimento contínuo do APT34 mostra a sua adaptabilidade. Eles aproveitam recursos e diversas habilidades para personalizar táticas para alvos específicos, garantindo uma espionagem cibernética bem-sucedida.

COIs

  • SHA256: 8a8a7a506fd57bde314coe6154f2484f280049f2bda504d43704b9ad412d5d618
  • Trojan.W97M.SIDETWIST.AB (Detec√ß√Ķes)
  • SHA256: 64156f9ca51951a9bf91b5b74073d31c16873ca60492c25895c1f0f074787345
  • Trojan.MSIL.SIDETWIST.AA (Detec√ß√Ķes)

URL

  • hxxp://tecforsc-001-site1[.]gtempurl[.]com/ads.asp

Table of Contents

N√≥s recomendamos:  AmazonA c√Ęmera para c√£es mais vendida da Furbo √© de US $ 135 (R $ 250), hoje apenas no Prime Day