ATAQUE sofisticado instala o backdoor
2 de Dezembro de 2024

Um relatório recentemente publicado pelo Trac LABS desvendou que o grupo de hackers conhecido como UNC2465, com claros objetivos de lucro, está realizando ataques avançados com uso do backdoor denominado SMOKEDHAM.

Esse recurso permite ao grupo não só invadir mas também operar discretamente dentro de redes corporativas, mantendo sua atividade oculta através de táticas complexas e diversificadas.

Destaca-se também que a Inteligência Artificial (I.A.) atualmente representa foco para 10% dos ethical hackers, além de uma campanha de phishing recente que utiliza o Banco Central como isca.

O ponto de entrada nessas redes é usualmente alcançado através de métodos tradicionais, como e-mails de phishing, softwares maliciosos e vulnerabilidades na cadeia de suprimentos.

Uma vez que ganham acesso ao sistema, os hackers utilizam ferramentas como Advanced IP Scanner e BloodHound para mapeamento de rede, RDP para navegação interna e Mimikatz para o roubo de credenciais.

Em campanhas anteriores, observou-se o uso de ransomwares como DARKSIDE e LOCKBIT; contudo, ataques mais recentes demonstram uma predileção pelo SMOKEDHAM, que é propagado através de anúncios mal-intencionados e programas infectados.

A contaminação tem início com um script NSIS, que assegura a persistência no sistema alvo através do download de arquivos danosos, configuração de entradas no registro do Windows e manipulação de serviços legítimos.

A fase terminal da invasão inclui a execução de um programa malicioso .NET, controlado por um servidor C2 remoto, que possibilita a realização de capturas de tela, coleta de informações do sistema e transferência de arquivos.

Para se manterem indetectáveis, os criminosos recorrem à criptografia RC4 e injeção direta na memória, evitando assim deixar vestígios no disco.

O SMOKEDHAM é notório por sua sofisticação, incluindo a utilização de certificados digitais para mascarar arquivos maliciosos e a alteração de executáveis legítimos, como “winlogon.exe”.

Em ações recentes, os hackers configuraram conexões remotas via UltraVNC na porta 443, sugerindo uma tática para assumir controlar integralmente o sistema e ampliar seus privilégios.

Este caso ilustra a capacidade dos cibercriminosos contemporâneos de combinar engenharia social com técnicas de alto nível para produzir ataques complexos e amplos.

A habilidade de disfarçar ações maliciosas como legítimas sublinha a importância de soluções de segurança mais completas, que ultrapassem os antivírus convencionais, para detectar e bloquear essas ameaças avançadas.

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...