Alerta: Campanhas de Phishing Entregam Nova Backdoor SideTwist e Variante do Agente Tesla
8 de Setembro de 2023

O ator de ameaças iraniano rastreado como APT34 foi vinculado a um novo ataque de phishing que leva à implantação de uma variante de um backdoor chamado SideTwist.

"O APT34 tem um alto nível de tecnologia de ataque, pode projetar diferentes métodos de intrusão para diferentes tipos de alvos e tem capacidade de ataque à cadeia de suprimentos", disseram os Laboratórios de Segurança da NSFOCUS em um relatório publicado na semana passada.

O APT34, também conhecido pelos nomes Cobalt Gypsy, Hazel Sandstorm (anteriormente Europium), Helix Kitten e OilRig, tem um histórico de ataques às verticais de telecomunicações, governo, defesa, petróleo e serviços financeiros no Oriente Médio desde pelo menos 2014 através de iscas de spear-phishing que culminam na implantação de vários backdoors.

Uma das principais características do grupo hacker é sua capacidade de criar novas ferramentas e atualizá-las para minimizar as chances de detecção e ganhar uma posição em hosts comprometidos por longos períodos de tempo.

O SideTwist foi documentado pela primeira vez como usado pelo APT34 em abril de 2021, com o Check Point descrevendo-o como um implante capaz de download/upload de arquivos e execução de comandos.

A cadeia de ataque identificada pela NSFOCUS inicia com um documento do Microsoft Word que contém uma macro maliciosa, que, por sua vez, extrai e iniciao payload codificado em Base64 armazenada no arquivo.

O payload é uma variante do SideTwist que é compilada usando GCC e estabelece comunicação com um servidor remoto (11.0.188[.]38) para receber novos comandos.

A novidade chega após os Laboratórios Fortinet FortiGuard capturaram uma campanha de phishing que espalha uma nova variante do Agent Tesla usando um documento do Microsoft Excel especialmente criado que explora a CVE-2017-11882 , uma vulnerabilidade de corrupção de memória de seis anos no Equation Editor do Microsoft Office, e a CVE-2018-0802 .

"O módulo principal do Agent Tesla coleta informações sensíveis do dispositivo da vítima", disse o pesquisador de segurança Xiaopeng Zhang.

"Essas informações incluem as credenciais salvas de alguns softwares, informações de keylogging da vítima e capturas de tela."

De acordo com dados compartilhados pela empresa de cibersegurança Qualys, a CVE-2017-11882 continua sendo uma das falhas mais exploradas até o momento, sendo explorada por "467 malwares, 53 atores de ameaças e 14 ransomwares" até recentemente em 31 de agosto de 2023.

Isso também ocorre após a descoberta de outro ataque de phishing que foi encontrado para usar imagens de arquivos ISO para lançar cepas de malware como Agent Tesla, LimeRAT e Remcos RAT em hosts infectados.

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...