Notícias de dispositivos móveis, gadgets, aplicativos Android

Grupo de hackers disfarçado de empresa de marketing para atacar alvos empresariais

Em um desenvolvimento recente, o NSFOCUS Security Labs detectou um novo ataque de phishing APT34.

Durante esta operação, o APT34, que se acredita ser originário do Irã e também conhecido como OilRig ou Helix Kitten, assumiu a identidade de uma empresa de serviços de marketing chamada Ganjavi Global Marketing Services (GGMS).

Eles visaram principalmente empresas, empregando uma variante do Trojan SideTwist para obter controle sustentado sobre os hosts das vítimas.

Um vislumbre do APT34

APT34, um grupo de ameaças persistentes avançadas (APT) ativo desde 2014, é especializado em espionagem e sabotagem cibernética.

Operando principalmente no Médio Oriente, visam diversos sectores, como finanças, governo, energia, produtos químicos e telecomunicações.

O APT34 possui capacidades de ataque avançadas, adaptando métodos de intrusão para diferentes alvos e até demonstrando proficiência em ataques à cadeia de suprimentos.

Após a exposição de suas principais ferramentas de ataque em um vazamento de 2019, o APT34 começou a desenvolver novas ferramentas, incluindo RDAT, SideTwist e Saitama.

A isca enganosa

Para esta operação, o APT34 utilizou um arquivo chamariz intitulado “GGMS Overview.doc”. Este documento introduziu uma empresa fictícia “Ganjavi Global Marketing Services”, que supostamente fornece serviços de marketing global com um foco claro nas empresas.

Notavelmente, dois registros de upload nos Estados Unidos sugerem a intenção do APT34 de atingir empresas norte-americanas.

Execução de Ataque

O ataque seguiu um padrão conhecido, embora com algumas variações. Um macrocódigo malicioso oculto no arquivo chamariz orquestrou o ambiente de implantação.

Este macrocódigo extraiu o Trojan SystemFailureReporter.exe do documento no formato base64, colocou-o no diretório %LOCALAPPDATA%\SystemFailureReporter\ e criou um arquivo de texto update.xml no mesmo diretório, servindo como chave de ativação do Trojan.

Nós recomendamos:  Ilíada, outra surpresa para clientes de iPhone e Android em setembro

Posteriormente, o código de macro malicioso estabeleceu uma tarefa agendada chamada “SystemFailureReporter”, convocando o Trojan a cada cinco minutos, garantindo sua operação contínua.

O Trojan, identificado como uma variante do SideTwist, comunicou-se via HTTP com um servidor CnC às 11.0.188.38:443.

Anatomia do Troiano

Esta variante do Trojan SideTwist, compilada usando GCC, compartilha semelhanças com iterações anteriores, mas apresenta diferenças na compilação.

Suas funções principais envolvem comunicação com o servidor CnC, execução de comandos e upload de arquivos. Após a execução, o Trojan verifica a presença de um arquivo “update.xml”, empregando medidas anti-sandbox.

Ele coleta informações do host da vítima para gerar um ID exclusivo e inicia a comunicação com o servidor CnC.

A comunicação CnC envolve instruções criptografadas, decodificadas usando uma chave XOR multibyte derivada da string “notmersenne”. Essas instruções determinam várias ações, desde a execução de comandos shell até o download/upload de arquivos.

Curiosamente, esta campanha APT34 usou o endereço IP 11 do CnC.0.188.38. Notavelmente, a porta 443 não respondeu, tornando difícil determinar a natureza do servidor CnC.

A investigação revelou que este endereço IP pertence ao Centro de Informações de Rede do Departamento de Defesa dos Estados Unidos em Columbus, Ohio.

Esta escolha de IP sugere que o APT34 pode ter utilizado esta operação para teste, com a intenção de ativar um endereço CnC diferente e oculto em ataques subsequentes.

O recente ataque do APT34 mostra sua metodologia consistente ao introduzir uma variante do Trojan SideTwist baseada em GCC e um enigmático endereço IP CnC. Esta especificidade implica uma fase de testes, salvaguardando os recursos de ataque até que o próprio endereço CnC seja habilitado.

Esta abordagem estratégica sublinha a adaptabilidade e a evasão dos grupos APT.

Nós recomendamos:  Melhores descontos em cursos da Udemy | Promoção da Black Friday 2023

Mantenha-se informado sobre as últimas notícias sobre segurança cibernética seguindo-nos no notícias do Google, Linkedin, Twittere Facebook.