A Kaspersky já identificou ataques a organizações industriais militares e instituições públicas na Europa Oriental e no Afeganistão no início de agosto. O malware usado é semelhante ao de um grupo APT de língua chinesa.
O Kaspersky ICS CERT identificou uma série de ataques direcionados contra plantas industriais, institutos de pesquisa, agências governamentais, ministérios e escritórios em vários países da Europa Oriental, incluindo Rússia, Ucrânia e Bielo-Rússia, bem como no Afeganistão. Os atores do APT conseguiram assumir o controle de toda a infraestrutura de TI das vítimas e se envolver em espionagem industrial.
Ataques a empresas e organizações militares
Em janeiro de 2022, os especialistas da Kaspersky descobriram vários ataques avançados a empresas militares e organizações públicas, incluindo plantas industriais, escritórios de design, institutos de pesquisa, agências governamentais, ministérios e departamentos, com o objetivo de roubar informações confidenciais e obter controle sobre os sistemas de TI. O malware usado pelos invasores é semelhante ao do TA428 APT, um grupo APT de língua chinesa.
Os invasores direcionados se infiltram nas redes corporativas por meio de e-mails de spear phishing cuidadosamente elaborados, alguns dos quais contêm informações específicas da organização visada que não eram públicas no momento em que o e-mail foi enviado. Os e-mails de phishing continham um documento do Microsoft Word com código malicioso para explorar uma vulnerabilidade que permite a execução de código arbitrário sem atividade adicional. A vulnerabilidade existe em versões desatualizadas do Microsoft Equation Editor, um componente do Microsoft Office.
Uso de seis backdoors diferentes
Os invasores usaram simultaneamente seis backdoors diferentes para configurar canais de comunicação adicionais com os sistemas infectados, caso um dos programas maliciosos fosse detectado e removido por uma solução de segurança. Esses backdoors fornecem ampla funcionalidade para controlar sistemas infectados e coletar dados confidenciais. A fase final do ataque era assumir o controle do controlador de domínio e obter controle total sobre todas as estações de trabalho e servidores da empresa. Em um caso, os invasores conseguiram até mesmo assumir o controle do centro de soluções de segurança cibernética. Depois de obter direitos de administrador de domínio e acesso ao Active Directory, os invasores realizaram o chamado ataque de "bilhete dourado" para representar as contas de usuário de qualquer organização e procurar documentos e outros arquivos contendo dados confidenciais da organização atacada. Os invasores hospedavam os dados exfiltrados em servidores em diferentes países.
Ataques do Bilhete Dourado
"Os ataques de ticket dourado usam o protocolo de autenticação padrão, que está em uso desde a disponibilidade do Windows 2000", explica Vyacheslav Kopeytsev, especialista em segurança da ICS CERT Kaspersky. “Forjando tíquetes de concessão de tíquetes Kerberos (TGTs) dentro da rede corporativa, os invasores podem acessar qualquer serviço pertencente à rede indefinidamente. Como resultado, simplesmente alterar senhas ou bloquear contas comprometidas não é suficiente. Nossa recomendação: analise cuidadosamente todas as atividades suspeitas e use soluções de segurança confiáveis.”
Mais em Kaspersky.com
Sobre Kaspersky A Kaspersky é uma empresa internacional de cibersegurança fundada em 1997. A profunda inteligência de ameaças e experiência em segurança da Kaspersky serve como base para soluções e serviços de segurança inovadores para proteger empresas, infraestrutura crítica, governos e consumidores em todo o mundo. O abrangente portfólio de segurança da empresa inclui proteção de endpoint líder e uma variedade de soluções e serviços de segurança especializados para se defender contra ameaças cibernéticas complexas e em evolução. Mais de 400 milhões de usuários e 250.000 clientes corporativos são protegidos pelas tecnologias da Kaspersky. Mais informações sobre Kaspersky em www.kaspersky.com/