Notícias de dispositivos móveis, gadgets, aplicativos Android

Hackers russos ignoram o EDR para fornecer um componente TeamViewer armado

A popularidade e os recursos de acesso remoto do TeamViewer o tornam um alvo atraente para aqueles que buscam comprometer os sistemas em seu benefício.

Os agentes de ameaças têm como alvo o TeamViewer para fins ilícitos porque é um software de desktop remoto amplamente utilizado, com potenciais pontos fracos de segurança.

A exploração de vulnerabilidades no TeamViewer pode fornecer acesso não autorizado a sistemas e dados confidenciais, permitindo que os cibercriminosos realizem diversas atividades maliciosas, como roubo de dados, fraude financeira ou até mesmo usem sistemas comprometidos para lançar ataques a outros alvos.

No final de 2022, o QiAnXin Threat Intelligence Center identificou um novo grupo de agentes de amea√ßas que usava sites falsos de download de software com classifica√ß√Ķes de pesquisa manipuladas para distribuir pacotes de instala√ß√£o n√£o oficiais, mas aparentemente v√°lidos, criados com Inno Setup.

Documento

Hackers russos ignoram EDR

A atribui√ß√£o foi um desafio devido √† complexa cadeia de ataque e √†s opera√ß√Ķes manuais dos invasores.

Em meados de 2023, o DLL Sideloading do TeamViewer foi entregue via SFTP, sugerindo uma conexão com os ataques a pesquisadores de segurança em 2021.

A cadeia de execu√ß√£o concentra-se em t√ļneis reversos SSH, aproveitando o OpenSSH para contornar a detec√ß√£o de endpoint EDR.

Os invasores empregaram sftp-server.exe para entregar o componente de sequestro do TeamViewer, revelando o uso do MINEBRIDGE RAT.

AnyDesk e PsExec tamb√©m foram usados ‚Äč‚Äčpara propaga√ß√£o lateral, com a descriptografia de dados ocorrendo dentro do contexto do usu√°rio da v√≠tima.

No total, foram utilizadas quatro assinaturas legítimas nesta operação de phishing, algumas ainda válidas no relatório, com uma utilização enigmática do Trojan Amadey.

  • GUTON LLC: FC2BDF5BD23470669F63B9A5BAE6305160DCBC67
  • NTB CONSULTING SERVICES INC: A05536924F1BA8F99BA6B1AA3C97B809E32A477E
  • OOO RIMMA: A1C753F5271F24B8067AC864BB4192C37265840C
  • KATEN LLC: 9A865A28A85CABC3F79C88BE54AF3B20962BC35C
N√≥s recomendamos:  A Microsoft considera o Bing como os problemas do Google na Austr√°lia e pode fazer com que ele puxe seu mecanismo de busca

Os pesquisadores descobriram uma nova variante do MINEBRIDGE RAT com ofusca√ß√£o LLVM, removendo instru√ß√Ķes antigas de C&C.

O exemplo recupera uma DLL do servidor para executar comandos do PowerShell para download de componentes SSH, consistente com scripts anteriores.

Atribuição

O grupo está ativo desde 2021 com base nos tempos de registro de domínio. Eles usaram o Cloudflare CDN para ocultar seu IP, mas poucos relatórios OSINT no MINEBRIDGE tornaram o rastreamento um desafio.

Os dados da QiAnXin mostram que os domínios maliciosos se comunicaram com linhas dedicadas corporativas e banda larga doméstica na China continental durante a fase Cloudflare CDN.

As empresas envolvidas pertenciam aos seguintes setores: –

  • Criptomoeda
  • Componentes eletr√īnicos
  • Tecnologia
  • Investimento
  • Assist√™ncia m√©dica

Descobertas recentes sugerem que Storm-0978 (RomCom), TA505 e MINEBRIDGE t√™m fortes liga√ß√Ķes, possivelmente indicando actividades partilhadas para al√©m das motiva√ß√Ķes econ√≥micas.

Table of Contents