Pesquisadores da Kaspersky descobriram que LuoYu, ator APT de língua chinesa, distribui malware WinDealer por meio de ataques man-on-the-side [1]. Essa mecânica de propagação permite que o agente da ameaça modifique o tráfego de rede em trânsito para injetar cargas maliciosas. Esses ataques são particularmente eficazes porque não requerem interação humana ou outra com o alvo para uma infecção bem-sucedida.
Após as descobertas do TeamT5 [2], os pesquisadores da Kaspersky descobriram um novo método usado pelos atores para proliferar o malware WinDealer. Eles usam um ataque man-on-the-side para ler o tráfego e inserir novas mensagens. O conceito de um ataque man-on-the-side é que, quando o invasor vê uma solicitação de um recurso específico na rede (seja por meio de suas habilidades de espionagem ou de sua própria posição estratégica na rede do ISP), ele tenta responder mais rápido que o servidor legítimo. Se for esse o caso, o computador de destino usa as informações fornecidas pelo invasor em vez dos dados normais. Mesmo que percam a maioria dessas "corridas", os invasores podem continuar tentando até infectar o dispositivo.
Spyware coleta muitas informações
Após um ataque bem-sucedido, o spyware chega ao dispositivo de destino, que pode coletar uma variedade de informações. Isso permite que os invasores visualizem e baixem todos os arquivos armazenados no dispositivo e realizem uma pesquisa por palavra-chave em todos os documentos. Em geral, LuoYu visa organizações diplomáticas estrangeiras com sede na China, instituições acadêmicas e empresas de defesa, logística e telecomunicações. O ator usa o WinDealer para atacar máquinas baseadas no Windows.
Normalmente, o malware contém um ou mais servidores de comando e controle codificados a partir dos quais os invasores controlam o sistema. Com as informações adequadas sobre esses servidores, é possível bloquear os endereços IP desses servidores com os quais o malware interage, neutralizando assim a ameaça. No entanto, o WinDealer depende de um complexo algoritmo de geração de endereço IP para determinar qual máquina deve ser contatada.
Windealer gera endereços IP de contato
Isso cobre um intervalo de 48.000 endereços IP possíveis, tornando quase impossível para o operador controlar até mesmo uma pequena parte dele. A única maneira de explicar esse comportamento de rede aparentemente impossível é presumir que os invasores têm recursos significativos de espionagem nesse intervalo de IP e podem até mesmo ler pacotes de rede que não atingem um destino.
Esse tipo de ataque man-on-the-side é particularmente devastador porque não requer interação com o alvo para resultar em uma infecção bem-sucedida. Uma conexão ativa com a Internet é suficiente. Além disso, os usuários não podem tomar proativamente nenhuma medida de proteção - além de rotear o tráfego de dados por outra rede. Embora isso seja possível usando uma VPN, ela pode não ser usada em alguns países e geralmente não está disponível, especialmente para cidadãos chineses.
A Alemanha também afetou
A grande maioria das vítimas do LuoYu está localizada na China, então os especialistas da Kaspersky acreditam que o LuoYu APT terá como alvo principal os usuários de língua chinesa e organizações relacionadas à China. No entanto, eles também notaram ataques em outros países, incluindo Alemanha, Áustria, Estados Unidos, República Tcheca, Rússia ou Índia.
"LuoYu é um agente de ameaças altamente sofisticado que usa métodos disponíveis apenas para os invasores mais avançados", comenta Suguru Ishimaru, pesquisador sênior de segurança da equipe global de pesquisa e análise (GReAT) da Kaspersky. “Só podemos especular como eles foram capazes de desenvolver tais habilidades. Os ataques man-on-the-side são extremamente eficazes porque o único requisito para um ataque a um dispositivo é que ele esteja conectado à Internet. Mesmo que o ataque falhe na primeira vez, os invasores podem repetir continuamente o processo até obter sucesso. Isso permite que os cibercriminosos realizem ataques de espionagem extremamente perigosos e bem-sucedidos, que geralmente visam diplomatas, cientistas e funcionários de outros setores-chave. Independentemente de como o ataque foi realizado, a única maneira de se proteger é permanecer muito vigilante e empregar práticas de segurança robustas. Isso inclui verificações antivírus regulares, análise de tráfego de rede de saída e registro extensivo para detectar anomalias.”
Recomendações da Kaspersky para proteção
- Empregar práticas de segurança robustas que incluem verificações antivírus regulares, análise de tráfego de rede de saída e coleta abrangente de arquivos de atraso para detectar anomalias.
- Realizar uma auditoria de segurança cibernética de todas as redes e corrigir quaisquer vulnerabilidades descobertas no perímetro da rede.
- Instalação de soluções anti-APT e EDR que permitem a detecção de ameaças, investigação e correção oportuna de incidentes. A equipe SOC deve sempre ter acesso aos dados mais recentes sobre ameaças e receber treinamento profissional regular. Tudo isso é possível dentro do Kaspersky Expert Security [3].
- Além da proteção abrangente de endpoint, os serviços dedicados fornecem proteção adicional contra ataques. O Kaspersky Managed Detection and Response [4] pode ajudar a identificar e interromper os comprometimentos no início, antes que os invasores atinjam seus alvos.
- O Threat Intelligence Resource Hub da Kaspersky [5] oferece acesso gratuito a informações independentes, constantemente atualizadas e disponíveis globalmente sobre ataques cibernéticos e ameaças atuais para garantir um alto nível de segurança.
[2] https://teamt5.org
[3] https://www.kaspersky.de/enterprise-security/endpoint-detection-response-edr
[4] https://www.kaspersky.de/enterprise-security/managed-detection-and-response
[5] https://go.kaspersky.com/uchub Mais em Kaspersky.com
Sobre Kaspersky A Kaspersky é uma empresa internacional de cibersegurança fundada em 1997. A profunda inteligência de ameaças e experiência em segurança da Kaspersky serve como base para soluções e serviços de segurança inovadores para proteger empresas, infraestrutura crítica, governos e consumidores em todo o mundo. O abrangente portfólio de segurança da empresa inclui proteção de endpoint líder e uma variedade de soluções e serviços de segurança especializados para se defender contra ameaças cibernéticas complexas e em evolução. Mais de 400 milhões de usuários e 250.000 clientes corporativos são protegidos pelas tecnologias da Kaspersky. Mais informações sobre Kaspersky em www.kaspersky.com/