Notícias de dispositivos móveis, gadgets, aplicativos Android

Infraestrutura de grupo de hackers que usa documentos MS Word armados é descoberta

Gamaredon, também conhecido como Primitive Bear, Actinium ou Shuckworm, é um grupo russo de ameaças persistentes avançadas (APT) ativo desde pelo menos 2013.

√Č um grupo de amea√ßas muito agressivo que emprega ataques prolongados, altamente disfar√ßados e particularmente agressivos.

A gangue distribui malware disfarçado em documentos do MS Word por meio de ataques de spear phishing e engenharia social.

Empurrão Silencioso investiga a operação de fluxo rápido do Grupo Gamaredon. Mais de 300 novos IOCs de domínio apex foram encontrados em apenas um domínio Gamaredon.

Documento

Usando documentos MS Word armados

Quando o documento √© acessado e o usu√°rio atende a um ou mais requisitos ‚Äď como localiza√ß√£o geogr√°fica, tipo de dispositivo e especifica√ß√£o do sistema ‚Äď antes da entrega, a carga √ļtil √© hospedada em um modelo baixado de um site controlado pelo invasor.

‚ÄúUma grande quantidade de subdom√≠nios Gamaredon usados ‚Äč‚Äčem ataques de spear phishing est√£o vinculados ao TLD .ru, registrado via REGRU-RU, e cont√™m o n√ļmero 71‚ÄĚ, segundo informa√ß√Ķes compartilhadas com o Cyber ‚Äč‚ÄčSecurity News.

Gamaredon emprega endereços IP infinitos para evitar descoberta e usa registros curinga A em vez de subdomínios especificados em fluxo rápido.

Os grupos APT utilizam fluxo rápido para evitar métodos padrão de detecção de ameaças que dependem de feeds de ameaças que fornecem nomes de domínio inteiros, incluindo subdomínios.

Vários sites relataram esforços recentes do Gamaredon para injetar malware dos seguintes URLs usando um modelo do MS Word:

  • http://encyclopedia83.samiseto[.]ru/HOME-PC/registry/am√°vel/prick/desculpe[.]83glf
  • http://relation46.samiseto[.]ru/DESKTOP-UVHG99D/percy[.]46rra

‚ÄúDescobrimos 98 registros A associados a *samiseto[.]ru, que foram usados ‚Äč‚Äčem rota√ß√£o constante‚ÄĚ, disseram os pesquisadores.

Pesquisas adicionais mostraram que os endere√ßos IP s√£o utilizados apenas por at√© 4 dias antes de serem substitu√≠dos por novos IPs (juntamente com novos subdom√≠nios), o que ajuda os agentes de amea√ßas a evitar a detec√ß√£o e torna a maioria dos IOCs isolados in√ļteis ap√≥s a descoberta.

N√≥s recomendamos:  Wise Data Recovery: Uma ferramenta definitiva de recupera√ß√£o de dados para todos os arquivos!

No passado, houve ataques documentados contra institui√ß√Ķes governamentais ocidentais nos EUA, no subcontinente indiano e, mais recentemente, na Ucr√Ęnia.

Recomendação

As organiza√ß√Ķes devem implementar contramedidas que rastreiem a infraestrutura subjacente que d√° suporte aos ataques, como dom√≠nios apex, ASNs, registradores, servidores de nomes autorizados, etc., em vez de depender de listas de IOCs isolados.

Eles tamb√©m devem aplicar conjuntos de dados correlativos que permitam √†s equipes de seguran√ßa identificar padr√Ķes no comportamento do invasor, como dados de diversidade de ASN e IP, conven√ß√Ķes de nomenclatura, etc.

As organiza√ß√Ķes devem reconhecer e bloquear dom√≠nios apex, independentemente do subdom√≠nio, para se protegerem de TTPs de fluxo r√°pido.