Hackers patrocinados pelo estado chinês têm como alvo organizações industriais com um malware que pode roubar dados de sistemas desconectados da rede (air-gapped).
Os sistemas air-gapped costumam cumprir papéis críticos e são isolados da rede empresarial e da internet pública, fisicamente ou por meio de software e dispositivos de rede.
Pesquisadores da empresa de cibersegurança Kaspersky descobriram o novo malware e o atribuíram ao grupo de ciberespionagem APT31, também conhecido como Zirconium.
De acordo com as descobertas, os hackers usaram pelo menos 15 implantes distintos em ataques no leste da Europa, cada um para uma etapa distinta da operação, bem como sua assinatura de família de malware 'FourteenHi'.
A Kaspersky informa que os ataques começaram em abril do ano passado e envolveram três etapas separadas.
Os implantes na fase inicial estabelecem persistência e acesso remoto aos sistemas comprometidos e coletam dados úteis para o reconhecimento.
Na segunda etapa, APT31 distribui um malware mais especializado que pode roubar dados de sistemas isolados (air-gapped) usando propagação por USB.
Finalmente, na terceira fase do ataque, os hackers usam implantes que podem carregar os dados coletados em seus servidores de comando e controle (C2).
O malware que ataca sistemas isolados consiste em quatro módulos descritos abaixo.
Em maio de 2022, a Kaspersky notou um implante adicional usado nos ataques APT31, projetado para coletar arquivos locais de sistemas violados.
Esse implante descriptografa e injeta seu payload na memória de um processo legítimo para evitar a detecção de malware, depois 'adormece' por 10 minutos e eventualmente copia todos os arquivos que correspondem às extensões de tipo de arquivo definidas em sua configuração.
Os arquivos roubados são arquivados usando o WinRAR (se não disponível, o malware sai) e, em seguida, armazenados em pastas locais temporárias criadas pelo malware em "C:\ProgramData\NetWorks\".
Finalmente, os arquivos são exfiltrados para o Dropbox.
A Kaspersky destaca que os ataques foram furtivos e listou as seguintes táticas, técnicas e procedimentos (TTPs): sequestro de ordem DLL para carregar payloads maliciosos na memória e ocultar payloads de forma criptografada em arquivos de dados binários separados.
A empresa fornece um relatório técnico que inclui dados adicionais, como hashes de malware, um conjunto completo de indicadores de comprometimento e detalhes sobre a atividade do malware do começo ao fim.
Sistemas air-gapped são um alvo atraente para grupos APT, que normalmente recorrem a pen drives para entregar malware e exfiltrar dados do ambiente isolado.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...