Pesquisadores de segurança descobriram um novo golpe vinculado ao grupo Phosphorus APT. Esse grupo de hackers possui uma ampla gama de habilidades, desde ransomware até spear phishing direcionado contra indivíduos de alto perfil.
A Check Point Research (CPR) relata que eles estão no encalço de uma nova campanha de hackers. Esse cluster de atividades foi denominado Educated Manticore, em homenagem à criatura manticora da mitologia persa, com a qual os pesquisadores de segurança querem deixar claro a partir do nome qual nação eles suspeitam estar por trás da campanha.
Grupos de hackers estatais do Irã
Sergey Shykevich, gerente do grupo de ameaças da Check Point Software Technologies, comenta: “Em nosso estudo, lançamos luz sobre as capacidades em constante evolução dos grupos de hackers de estado-nação iranianos. Semelhante aos criminosos cibernéticos comuns, que adaptam suas cadeias de infecção a ambientes de TI em constante mudança, os hackers de estado-nação também estão usando arquivos ISO para contornar novas medidas contra os arquivos infectados do Office, que têm sido populares até agora. No entanto, as ferramentas deste player também melhoraram, indicando o investimento contínuo do Irã na expansão de suas capacidades de TI do estado.”
Phosphorus é um notório grupo APT (Advanced Persistent Threat) que opera no Irã, principalmente na América do Norte e no mundo árabe. O novo grupo que parece estar associado ao Phosphorus usa métodos raramente vistos, incluindo binários .NET construídos em código assembly de modo misto. A nova campanha consiste principalmente em phishing contra iraquianos e israelenses, usando um arquivo de imagem ISO, já que muitas proteções contra arquivos Office infectados, como supostos documentos do Word ou Excel, foram recentemente criadas por empresas e agências governamentais. Dentro do arquivo ISO, os documentos foram mantidos em árabe e hebraico.
Início de uma cadeia de infecção
Os pesquisadores de segurança da Check Point suspeitam que esse método visa apenas atuar como o início de uma cadeia de infecção para abrir um gateway para malware ou ransomware, porque: A variante nos arquivos ISO é uma atualização de malware mais antigo e ambos podem ser vinculado a ransomware -Operations of Phosphorus juntos. Por esse motivo, os especialistas aconselham todos os tomadores de decisão de TI a instalar regularmente patches e atualizações para seus produtos e aplicativos de segurança, treinar fundamentalmente os funcionários (incluindo a gerência) em segurança de TI contra ameaças e adotar uma abordagem consolidada ao comprar soluções de segurança de TI para preferem, em vez de comprar, uma proliferação de diferentes soluções individuais que funcionam mal juntas e, portanto, deixam lacunas na defesa.
A detecção e resposta automatizadas de ameaças tornaram-se essenciais, assim como o monitoramento automatizado de e-mail (especialmente anexos) e a resposta de e-mail. Isso também se aplica a arquivos e suas atividades nos computadores da rede. Estar vinculado a uma nuvem de inteligência de ameaças também ajuda muito, pois fornece dados de ameaças em tempo real e dados de resposta de todo o mundo para a solução de segurança, que é controlada centralmente.
Mais em Checkpoint.com
Sobre o ponto de verificação A Check Point Software Technologies GmbH (www.checkpoint.com/de) é um fornecedor líder de soluções de segurança cibernética para administrações públicas e empresas em todo o mundo. As soluções protegem os clientes contra ataques cibernéticos com uma taxa de detecção líder do setor de malware, ransomware e outros tipos de ataques. A Check Point oferece uma arquitetura de segurança multicamada que protege as informações corporativas em nuvem, rede e dispositivos móveis, e o sistema de gerenciamento de segurança "um ponto de controle" mais abrangente e intuitivo. A Check Point protege mais de 100.000 empresas de todos os portes.