Grupo APT plantou backdoors para espionar empresas

Juntamente com a ESET, a Avast analisou amostras de malware usadas em ataques contra uma empresa de telecomunicações, uma companhia de gás e uma instituição governamental

Compartilhar:

A Avast acaba de divulgar uma análise conjunta de um ataque APT dirigido a empresas e instituições da Ásia Central. A Avast trabalhou em conjunto com analistas de malware da ESET, examinando amostras usadas por um grupo APT (Advanced Persistent Threat) que tinha o objetivo de espionar uma empresa de telecomunicações, uma companhia de gás e uma instituição governamental da Ásia Central.

 

O grupo plantou backdoors para obter acesso de longo prazo às redes corporativas. Com base nas análises, a Avast suspeita que o grupo também esteja por trás de ataques ativos na Mongólia, Rússia e Bielorrússia. A Avast acredita que o grupo é da China, devido ao uso do Gh0st RAT – que é conhecido por ser utilizado por grupos chineses de APT, no passado. Além disso, há semelhanças no código que a Avast analisou e no código verificado recentemente em uma campanha atribuída a cibercriminosos chineses.

 

Os backdoors deram aos cibercriminosos capacidades de manipular e excluir arquivos, extrair capturas de tela, alterar processos e serviços, executar comandos de console e se remover. Além disso, alguns comandos podiam instruir os backdoors a extrair dados para um servidor C&C. Os dispositivos infectados também podiam ser controlados por um servidor C&C, para agir como proxy ou escutar por uma porta específica em cada uma das interfaces de rede. O grupo usou ainda ferramentas como Gh0st RAT e instrumentação de gerenciamento, para se mover lateralmente dentro das redes infiltradas.

 

“O grupo por trás do ataque frequentemente recompilou as suas ferramentas personalizadas para evitar a detecção por antivírus que, além de backdoors, incluía Mimikatz e Gh0st RAT. Isso levou a um grande número de amostras, com os binários frequentemente protegidos por VMProtect, tornando a análise mais difícil”, diz Luigino Camastra, pesquisador de malware da Avast. “Com base no que descobrimos e no fato de termos conseguido vincular os elementos desses ataques com os cibercriminosos por trás deles envolvidos em outras localidades, presumimos que esse grupo também estivesse mirando outros países”.

 

A Avast relatou as suas descobertas à equipe CERT local e contatou a empresa de telecomunicações afetada, a qual descobriu que estava sob ataque.

 

Destaques

Colunas & Blogs

Conteúdos Relacionados

Security Report | Overview

EUA e Reino Unido movem sanções conjuntas em resposta a ciberataques chineses

Especialistas da Check Point Software analisaram os ataques do grupo de hackers APT31, afiliado ao Estado chinês, contra os governos...
Security Report | Overview

GSI publica resolução do primeiro encontro do Comitê de Cibersegurança

O Comitê organizado e administrado pelo GSI definiu tanto o regimento interno do conselho quanto dividiu as atribuições dos Grupos...
Security Report | Overview

Avanço das deepfakes movimenta indústria em favor da detecção com IA embarcada

Segundo pesquisa da Kaspersky, o número de golpes por fake news de produções digitais teve um aumento de 900% em...
Security Report | Overview

Ministério da Ciência e Tecnologia amplia programa de incentivo a pesquisas sobre IA

Iniciativa vai acelerar projetos nas áreas de Saúde, Agronegócio, Gestão Corporativa, Finanças, TI e Telecom; Energia e Sismologia, Segurança, Defesa...