No terceiro trimestre de 2022, os investigadores da Kaspersky descobriram uma campanha de espionagem com Android, anteriormente desconhecida, apelidada de SandStrike. O ator tem como alvo uma minoria religiosa de língua persa, Baháʼí, através da distribuição de uma aplicação VPN que contém spyware altamente sofisticado. Os especialistas da Kaspersky descobriram também uma atualização avançada do cluster DeathNote e – juntamente com o SentinelOne – investigaram um Metatron nunca antes visto. Esta, e outras descobertas são reveladas no último relatório trimestral da Kaspersky sobre ameaças.
Para atrair as vítimas a descarregar o spyware, os atacantes criaram contas no Facebook e Instagram com mais de 1.000 seguidores e conceberam materiais gráficos temáticos religiosos convidativos, criando uma armadilha eficaz para os crentes. A maioria destas contas de meios de comunicação social contém uma ligação a um canal de Telegramas também criado pelo agressor.
Neste canal, o responsável pela SandStrike distribuiu uma aplicação VPN aparentemente inofensiva para aceder a websites proibidos em certas regiões, por exemplo, a materiais relacionados com a religião. Para tornar esta aplicação totalmente funcional, os responsáveis também criaram a sua própria infraestrutura de VPN.
Contudo, o cliente de VPN contém um spyware totalmente funcional com capacidades que permitem aos responsáveis pela ameaça recolher e roubar dados sensíveis, incluindo registos de chamadas, listas de contactos, e também rastrear quaisquer outras atividades de indivíduos perseguidos.
Ao longo do terceiro trimestre de 2022, os responsáveis da APT mudaram continuamente as suas táticas, aperfeiçoando os seus conjuntos de ferramentas e desenvolvendo novas técnicas. As conclusões mais significativas incluem:
- A nova e sofisticada plataforma de malware dirigida a empresas de telecomunicações, ISPs e universidades
Juntamente com SentinelOne, os investigadores da Kaspersky analisaram uma plataforma malware nunca vista – antes sofisticada, apelidada de Metatron. O Metatron visa principalmente as telecomunicações, fornecedores de serviços de Internet, e universidades em países do Oriente Médio e África. O Metatron foi concebido para contornar as soluções de segurança nativas ao mesmo tempo que implementa plataformas malware diretamente na memória.
- A atualização de ferramentas avançadas e sofisticadas
Os especialistas da Kaspersky observaram que o Lazarus utiliza o grupo DeathNote contra as vítimas na Coreia do Sul. O grupo possivelmente utilizou um compromisso estratégico na web, empregando uma cadeia de infecção semelhante àquela que os especialistas da Kaspersky relataram anteriormente, atacando um programa de segurança de endpoint. No entanto, os especialistas descobriram que o malware e os esquemas de infecção também foram actualizados. O actor utilizou malware que não tinha sido visto antes, com funcionalidades mínimas para executar comandos a partir do servidor C2. Utilizando esta backdoor implantada, o operador ficou escondido no ambiente da vítima durante um mês e recolheu informações do sistema.
- A ciberespionagem continua a ser o objectivo principal das campanhas da APT
No terceiro trimestre de 2022, os investigadores da Kaspersky detetaram numerosas campanhas da APT, cujo principal alvo são as instituições governamentais. As nossas recentes investigações mostram que este ano, a partir de Fevereiro, a HotCousin tentou comprometer os ministérios dos negócios estrangeiros na Europa, Ásia, África e América do Sul.
“Como podemos ver pela análise dos últimos três meses, os agentes da APT são agora utilizados de forma enérgica para criar ferramentas de ataque e melhorar as já existentes para lançar novas campanhas maliciosas. Nos seus ataques, eles utilizam métodos perspicazes e inesperados: O SandStrike, que ataca os utilizadores através de um serviço VPN, onde as vítimas tentam encontrar proteção e segurança, é um excelente exemplo. Atualmente, é fácil distribuir o malware através de redes sociais e permanecer sem ser detetado durante vários meses ou até mais. É por isso que é tão importante estar tão alerta como sempre e ter a certeza de estar armado com a inteligência da ameaça e as ferramentas certas para se proteger das ameaças existentes e emergentes”, observa Victor Chebyshev, lead security researcher at Kaspersky’s GReAT.
Para ler o relatório completo de tendências da APT Q3 2022, por favor visite Securelist.com
A fim de evitar ser vítima de um ataque dirigido por um actor conhecido ou desconhecido, os investigadores da Kaspersky recomendam a implementação das seguintes medidas:
- Disponibilizar à sua equipa de SOC o acesso às últimas informações sobre ameaças (TI). O Portal Kaspersky Threat Intelligence é um ponto de acesso único para as TI da empresa, proporcionando dados de ciberataques e insights recolhidos pela Kaspersky ao longo dos últimos 20 anos. Para ajudar as empresas a permitir defesas eficazes nestes tempos turbulentos, a Kaspersky anunciou o livre acesso a informação independente, continuamente actualizada e de origem global sobre ciberataques e ameaças em curso. Pedir acesso online.
- Forme a sua equipa de cibersegurança para lhes permitir enfrentar as últimas ameaças visadas com a formação online Kaspersky desenvolvida por peritos do GReAT.
- Utilize uma solução EDR de nível empresarial, tal como a Kaspersky EDR Expert. É essencial detectar ameaças entre um mar de alertas dispersos graças à fusão automática de alertas em incidentes, bem como analisar e responder a um incidente da forma mais eficaz.
- Além de adoptar uma protecção essencial de endpoint, implementar uma solução de segurança de nível corporativo que detecte ameaças avançadas a nível da rede numa fase inicial, como a Plataforma de Ataque Anti-Ataque Kaspersky.
Como muitos ataques direccionados começam com técnicas de engenharia social, tais como phishing, introduzir a formação de sensibilização para a segurança e ensinar competências práticas à sua equipa utilizando ferramentas como a Kaspersky Automated Security Awareness Platform.
👍🏻 Outros artigos interessantes:
