Um grupo de ameaças de espionagem rastreado como 'Redfly' invadiu uma organização de rede de eletricidade nacional na Ásia e manteve acesso discreto à rede violada por seis meses.
Essas novas descobertas vêm da Symantec, que encontrou evidências de atividade do malware ShadowPad na rede da organização entre 28 de fevereiro e 3 de agosto de 2023, junto com keyloggers e lançadores de arquivos especializados.
Embora o ShadowPad seja um trojan amplamente disponível usado por vários grupos APT, a Symantec registra os ataques recentes separadamente, relatando que o Redfly parece ter um foco exclusivo em infraestruturas nacionais críticas.
A variante do ShadowPad vista nos ataques disfarça seus componentes (exe e dll) como arquivos do VMware, depositando-os no sistema de arquivos da vítima.
O programa também alcança persistência criando serviços nomeados novamente depois do VMware, configurados para iniciar o executável e o DLL maliciosos na inicialização do sistema.
Em geral, o ShadowPad é um RAT modular versátil que suporta a extração de dados para o C2, gravação de teclas, busca de arquivos e operações de arquivos, e execução de comandos remotos.
Múltiplos APTs o utilizam porque ele não está associado a um único ator, tornando a atribuição e o rastreamento mais difíceis para os analistas.
Nos ataques observados, o Redfly usou uma ferramenta de keylogging separada que capturou as teclas digitadas em arquivos de log no sistema invadido, que os atacantes recuperaram manualmente.
Outra ferramenta que os hackers de espionagem usam é o Packerloader, empregado para carregar e executar shellcode dentro de arquivos criptografados em AES capazes de evadir detecção AV.
Os invasores foram vistos usando esta ferramenta para executar código que modificou as permissões de um arquivo de driver, posteriormente usado para criar despejos de credenciais no registro do Windows (para recuperação futura) e limpar logs de eventos de segurança do Windows.
O Redfly também usa o PowerShell para executar comandos que ajudam a coletar detalhes sobre dispositivos de armazenamento específicos no sistema comprometido.
Para movimento lateral, os hackers usam DLLalças laterais e executáveis legítimos, tarefas programadas executando binários legítimos e credenciais roubadas.
O Redfly também empregou versões renomeadas de ferramentas conhecidas, como o ProcDump, para descartar credenciais do LSASS e depois usá-las para autenticar sistemas adjacentes.
O longo período de permanência visto neste ataque é característico dos atores de espionagem que infectam sistemas e mantêm um perfil discreto para coletar o máximo de inteligência possível.
Embora ainda não seja certa a intenção dos invasores de interromper o fornecimento de energia, o risco potencial representa uma ameaça significativa.
"Ataques contra alvos de CNI não são sem precedentes.
Quase uma década atrás, a Symantec descobriu os ataques do grupo Dragonfly patrocinados pela Rússia contra o setor de energia nos EUA e na Europa", concluiu o relatório da Symantec.
"Recentemente, o grupo Sandworm russo realizou ataques contra a rede de distribuição de eletricidade na Ucrânia destinados a interromper o fornecimento de energia."
Essa interrupção poderia ter provocado danos extensos aos clientes do fornecedor de energia e repercussões econômicas profundas para toda a nação.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...