Os especialistas da Kaspersky descobriram recentemente campanhas de espionagem direcionadas contra organizações financeiras e militares.
Usando o Kaspersky Threat Attribution Engine, os pesquisadores da Kaspersky conseguiram vincular mais de 300 amostras do backdoor Bisonal a uma campanha do grupo de ciberespionagem CactusPete. Esta última campanha do grupo APT foca-se em alvos militares e financeiros na Europa de Leste. Ainda não está claro como o backdoor usado entra nos dispositivos das vítimas.
CactusPete, também conhecido como Karma Panda ou Tonto Teaь, é um grupo de ciberespionagem ativo desde pelo menos 2012. Seu backdoor atualmente implantado visa representantes dos setores militar e financeiro na Europa Oriental, com probabilidade de obter acesso a informações confidenciais.
Primeiros ataques de espionagem em fevereiro de 2020
Essas atividades de grupo recentes foram notadas pela primeira vez pelos pesquisadores da Kaspersky em fevereiro de 2020, quando descobriram uma versão atualizada do backdoor Bisonal. Usando o Kaspersky Threat Attribution Engine - uma ferramenta de análise para encontrar semelhanças em códigos maliciosos de agentes de ameaças conhecidos - o backdoor foi vinculado a mais de 300 outras amostras encontradas "na natureza". Todas as amostras foram descobertas entre março de 2019 e abril de 2020, cerca de 20 amostras por mês. Isso sugere que o CactusPete está evoluindo rapidamente. Como tal, o grupo continuou a aprimorar suas habilidades e este ano ganhou acesso a códigos mais complexos como o ShadowPad.
A funcionalidade da carga maliciosa sugere que o grupo está em busca de informações altamente confidenciais. Depois de instalar o backdoor no dispositivo da vítima, o grupo pode usar o Bisonal para iniciar vários programas silenciosamente, encerrar processos, carregar, baixar ou excluir arquivos e obter uma lista de unidades disponíveis. Uma vez que os invasores se aprofundam no sistema infectado, um keylogger é usado para coletar credenciais e baixar malware que concede privilégios e aumenta cada vez mais o controle sobre o sistema.
CactusPete usa e-mails de spear phishing
Ainda não está claro como o backdoor entrou no dispositivo nesta campanha. No entanto, no passado, o CactusPete dependia principalmente de e-mails de spear phishing contendo anexos maliciosos para infectar dispositivos.
"CactusPete é um grupo APT interessante porque na verdade não é tão avançado, incluindo seu backdoor bisonal", diz Konstantin Zykov, pesquisador de segurança da Kaspersky. “O sucesso deles não se baseia em tecnologia complexa ou táticas sofisticadas de distribuição e ofuscação, mas em engenharia social bem-sucedida. Eles conseguem infectar alvos de alto nível fazendo com que suas vítimas abram anexos maliciosos em e-mails de phishing. Este é um bom exemplo de por que o phishing continua a ser uma forma tão eficaz de lançar ataques cibernéticos e por que é tão importante para as empresas educar seus funcionários sobre como reconhecer esses e-mails e como usar inteligência de ameaças para monitorá-los contra a ameaça mais recente. ”
Recomendações da Kaspersky para proteção contra APTs
- A equipe do Centro de Operações de Segurança (SOC) deve sempre ter acesso à inteligência de ameaças mais recente para ficar a par das ferramentas, técnicas e táticas novas e emergentes que estão sendo usadas por agentes de ameaças e cibercriminosos.
- As organizações devem implementar uma solução de EDR como o Kaspersky Endpoint Detection and Response para detectar, investigar e responder a incidentes em tempo hábil.
- Os funcionários devem receber treinamento regular em segurança cibernética [6], pois muitos ataques direcionados começam com phishing ou outras técnicas de engenharia social. Ataques de phishing simulados podem ajudar a testar, treinar e alertar os funcionários sobre o que os cibercriminosos estão fazendo.
- Com o Kaspersky Threat Attribution Engine, amostras maliciosas podem ser rapidamente vinculadas a invasores conhecidos.
Consulte a SecureList da Kaspersky.com para obter mais informações
Sobre Kaspersky A Kaspersky é uma empresa internacional de cibersegurança fundada em 1997. A profunda inteligência de ameaças e experiência em segurança da Kaspersky serve como base para soluções e serviços de segurança inovadores para proteger empresas, infraestrutura crítica, governos e consumidores em todo o mundo. O abrangente portfólio de segurança da empresa inclui proteção de endpoint líder e uma variedade de soluções e serviços de segurança especializados para se defender contra ameaças cibernéticas complexas e em evolução. Mais de 400 milhões de usuários e 250.000 clientes corporativos são protegidos pelas tecnologias da Kaspersky. Mais informações sobre Kaspersky em www.kaspersky.com/