Notícias de dispositivos móveis, gadgets, aplicativos Android

Redfly chinês hackeou rede elétrica nacional e rede elétrica Acesso mantido para 6 Meses

Pesquisadores de segurança cibernética da equipe Threat Hunter da Symantec descobriram recentemente que o grupo de atores de ameaças Redfly usou o Trojan ShadowPad para violar uma rede nacional asiática para 6 meses.

As ameaças cibernéticas impulsionadas pela inteligência artificial crescem à medida que a tecnologia avança, influenciando e aumentando significativamente a sofisticação dos agentes de ameaças.

Os ataques persistentes de espionagem perpetrados por agentes de amea√ßas a infra-estruturas nacionais cr√≠ticas (CNI) suscitam preocupa√ß√Ķes globais entre governos e entidades da CNI.

Nesta violação de segurança, os agentes da ameaça roubaram com sucesso as credenciais e comprometeram os computadores.

O √ļltimo ataque faz parte da onda global de espionagem da CNI, com os seguintes pa√≠ses em alerta m√°ximo ap√≥s a infiltra√ß√£o do Tuf√£o Volt nos EUA:-

  • Os EUA
  • O Reino Unido
  • Austr√°lia
  • Canad√°
  • Nova Zel√Ęndia

ShadowPad √© inicialmente um RAT subterr√Ęneo modular e de curta dura√ß√£o, agora vinculado a grupos de espionagem como o APT41. Ataques recentes √† rede el√©trica ligados ao Redfly, distintos do Blackfly e do Grayfly.

Ferramentas usadas

A seguir, mencionamos todas as ferramentas que os atores da amea√ßa usam nesses ataques: ‚Äď

Documento

Análise técnica

Intrusão inicial em 28 de fevereiro de 2023, seguida pela execução do ShadowPad em 17 de maio, confirmando a presença dos invasores. Um suspeito 1O arquivo .bat foi executado em 16 de maio, levando à execução do PackerLoader no diretório %TEMP%.

Em seguida, o acesso de todos os usu√°rios √© concedido ao driver dump_diskfs.sys, potencialmente para despejos e exfiltra√ß√£o do sistema de arquivos. Do seguinte Windows registro, as credenciais foram descartadas: –

  • reg salvar HKLM\SYSTEM system.save
  • reg salvar HKLM\SAM sam.sav
  • reg salvar HKLM\SECURITY seguran√ßa.save
N√≥s recomendamos:  Muito impressionante para um TWS de primeira gera√ß√£o

Em 19 de maio, os invasores retornaram, executando o PackerLoader e 1.bat, ent√£o, com a ajuda de um arquivo ‚Äúdisplayswitch.exe‚ÄĚ sorrateiro, o Redfly lan√ßou sua carga maliciosa.

Além disso, mais tarde eles usaram o PowerShell para espionar as unidades graváveis. Além disso, o displaywitch.exe foi acionado em %TEMP% em 26 de maio e rapidamente despejou as credenciais do registro e apagou os logs de segurança.

Em seguida, os invasores usaram o ProcDump em 29 de maio e o Oleview em 31 de maio para atividades maliciosas e possivelmente aproveitaram as credenciais roubadas para movimentação lateral.

Durante o ano passado, os agentes de amea√ßas visaram e atacaram ativamente as organiza√ß√Ķes CNI. At√© a frequ√™ncia dos ataques tamb√©m aumentou significativamente, o que agora √© um fator preocupante.

Os intervenientes na amea√ßa que mant√™m uma presen√ßa de longo prazo nas redes representam o risco de ataques perturbadores nos Estados-na√ß√£o durante tens√Ķes pol√≠ticas.

COIs