Um novo grupo de hackers, apelidado de Earth Centaur, anteriormente conhecido como Tropic Trooper, recentemente teve como alvo empresas de transporte e governamentais.
Este grupo de hackers está ativo desde 2011; em suma, é um grupo de hackers de espionagem cibernética de longa data. Embora a empresa de segurança Trend Micro tenha detectado algumas atividades suspeitas do Earth Centaur em julho de 2020 e, desde então, os analistas de segurança da Trend Micro têm monitorado o grupo.
O aparecimento do grupo de hackers Earth Centaur é o ressurgimento do Tropic Trooper. Eles visaram as empresas de transporte e governamentais para violar os seguintes dados confidenciais: –
- Horários de voo
- Documentos de planejamento financeiro
- Intranet
- Despejar credenciais
- Limpe os logs de eventos
Por que o Centauro da Terra foi apelidado de Tropic Trooper?
Aqui, os analistas de segurança cibernética nomearam o grupo de hackers Earth Centaur como Tropic Trooper, tudo porque encontraram um código semelhante na decodificação da configuração do Earth Centaur.
Aqui está o que os especialistas em segurança da Trend Micro afirmou:-
“Atualmente, não descobrimos danos substanciais a estas vítimas causados pelo grupo de ameaça. No entanto, acreditamos que continuará a recolher informações internas das vítimas comprometidas e que está simplesmente à espera de uma oportunidade para utilizar esses dados.”
Os atores da ameaça têm como alvo vários setores e são: –
- Governo
- Assistência médica
- Transporte
- Indústrias de alta tecnologia
Táticas, técnicas e procedimentos (TTPs) do Centauro da Terra
As táticas, técnicas e procedimentos (TTPs) usados pelo Earth Centaur são bastante sofisticados, pois para explorar vulnerabilidades conhecidas eles usam e-mails de spear-phishing com anexos armados.
Não só isso, mesmo os operadores deste grupo também desenvolvem seus TTPs com vários complementos maliciosos, como ofuscação, furtividade e poder de ataque.
Recentemente, os invasores implementaram um trojan USB conhecido como USBFerry para refinar suas estratégias e ataques.
Implantes e ferramentas usadas
Os implantes ou cargas usadas pelos atores da ameaça são:-
- Cliente Chiser
- SmileSvr
- Cliente Chiser
- HTShell
- Versões personalizadas de Lilith RAT e Gh0st RAT
Aqui abaixo mencionamos as ferramentas usadas pelos atores da ameaça: –
- SharpHound
- FRPC
- Formão
- RClone
Comandos usados
Aqui estão os comandos usados pelos atores da ameaça: –
- CMDCommand: Executa comandos
- DownloadCloudFile: baixa arquivos
- UploadCloudFile: carrega arquivos
- GetDir: lista diretórios
- GetDirFile: lista arquivos em um diretório
- DeleteSelf: exclui a si mesmo
Aqui está o que os especialistas afirmaram: –
“O grupo pode mapear a infraestrutura de rede do seu alvo e contornar firewalls. Ele usa backdoors com diferentes protocolos, que são implantados dependendo da vítima. Também tem a capacidade de desenvolver ferramentas personalizadas para evitar o monitoramento de segurança em diferentes ambientes e explora sites vulneráveis e os utiliza como servidores C2.”
Além disso, com a aprovação do Acordo de Infra-estruturas em Novembro, em todo o sector dos transportes, ocorrerão enormes investimentos devido a este acordo e aqui os actores da ameaça pareciam ter preparado o dinheiro na perfeição.
Você pode nos seguir em Linkedin, Twitter, Facebook para atualizações diárias de notícias sobre segurança cibernética e hackers.