Kaspersky Lab descobre a operação de ciberespionagem SneakyPastes
Lançada pelo Gaza Cybergang, esta opração utiliza técnicas simples, mas efetivas, e já identificou-se vítimas em mais de 39 países relacionados com o Oriente Médio.
Em 2018, o Gaza Cybergang, que compreende vários grupos com diferentes níveis de sofisticação, lançou uma operação de ciberespionagem dirigida a indivíduos e organizações políticas no Oriente Médio. Chamada de SneakyPastes, ela fez uso de endereços de e-mail descartáveis para espalhar a infecção via mensagens de phishing, em seguida o malware é baixado passando por diversos estágios, que utilizam diferentes sites gratuitos. Esta abordagem eficaz e de custo baixo, permitiu ao grupo atingir cerca de 240 vítimas importantes em 39 países, incluindo entidades políticas, diplomáticas, veículos de imprensa, ONGs, entre outras. A descoberta da Kaspersky Lab foi compartilhada com as autoridades responsáveis e resultou na remoção de uma parte significativa da infraestrutura de ataque.
O Gaza Cybergang é uma ciberameaça de língua árabe, politicamente motivado, formada por grupos especializados e interrelacionados que atacam alvos principalmente no Oriente Médio e Norte da África, com um interesse especial nos territórios palestinos. A Kaspersky Lab identificou pelo menos três deles, que apresentam motivações e objetivos semelhantes – a ciberespionagem voltada ao Oriente Médio e com interesse político – mas apresentam diferentes ferramentas, técnicas e níveis de sofisticação. São estes elementos em comum que permitiram a correlação entre eles.
Entre os envolvidos, estão alguns dos grupos mais avançados, como a Operation Parliament e Desert Falcons, conhecidos desde 2018 e 2015, respectivamente, e um com papel crucial, mas menos complexo, conhecido como MoleRats e ativo desde pelo menos 2012. Na primavera de 2018, este último grupo lançou a operação SneakyPastes.
O SneakyPastes começou com ataques de phishing com temas políticos, dissemidados por endereços de e-mail e domínios descartáveis. O objetivo dos links maliciosos ou dos arquivos anexados era iniciar a infecção no dispositivo vítima.
Para evitar a detecção e ocultar a localização do servidor comando e controle (C&C), outro malware era baixado no dispositivo da vítima, usando sucessivas etapas e sites gratuítos como Pastebin e Github. Os diferentes implantes maliciosos utilizavam PowerShell, VBS, JS e .NET para tentar garantir sua permanência nos sistemas infectados. O estágio final da infecção é um trojan de acesso remoto que, ao contatar com seu servidor de comando e controle, irá reunir, compactar, criptografar e roubar uma grande quantidade de documentos e planilhas. O nome SneakyPastes é derivado do uso intenso de “sites de colar” por parte dos invasores para entregar o RAT gradualmente nos sistemas de vítimas.
Os especialistas da Kaspersky Lab trabalharam com a polícia para descobrir o ciclo completo de ataque e invasão da operação SneakyPastes. Esse esforço resultou não apenas em um entendimento detalhado das ferramentas, técnicas e metas, também foi possível realizar a remoção de uma parte significativa da infraestrutura usada.
A operação SneakyPastes foi a mais ativa entre abril e meados de novembro de 2018, concentrando-se em uma pequena lista de alvos que compreendiam entidades diplomáticas e governamentais, ONGs e veículos de comunicação.
Graças ao uso da telemetria da Kaspersky Lab e outras fontes, foram identificados cerca de 240 vítimas individuais e corporativas relevantes em 39 países ao redor do mundo, onde a maioria está localizada nos territórios palestinos, na Jordânia, em Israel e no Líbano. Entre essas vítimas estão embaixadas, entidades governamentais, veículos de comunicação e jornalistas, ativistas, partidos políticos e políticos, bem como organizações educacionais, bancos, empresas na área da saúde e de contratações.
“A descoberta do Desert Falcons em 2015 foi um marco no cenário de ciberameaças, ao ser o primeiro APT em lingua árabe identificado. Sabemos agora que sua matriz, o Gaza Cybergang, vem atuando ativamente no Oriente Médio desde 2012, inicialmente confiando a maioria das suas atividades de uma equipe pouco sofisticada, mas implacável - esta equipe lançou, em 2018, a operação SneakyPastes. Ela mostra que a falta de infraestrutura e ferramentas avançadas não é um obstáculo para o sucesso. Esperamos que os danos causados pelos três grupos da Gaza Cybergang irão se intensificar e que os ataques se estendam a outras regiões ligadas às questões palestinas”, afirma Amin Hasbini, chefe da equipe de pesquisa da Kaspersky Lab no Oriente Médio.
Todos os produtos da Kaspersky Lab já detectam e bloqueiam essa ameaça. Para evitar ser vítima de um ataque dirigido de grupos conhecidos ou desconhecidos, os analistas da Kaspersky Lab recomendam implementar as seguintes medidas:
- Utilize ferramentas de segurança avançada como o Kaspersky Anti Targeted Attack Platform e tenha certeza de que a sua equipa de segurança tem acesso aos mais recente relatórios de inteligência em ciberameaças.
- Atualize regularmente todos os software usados na empresa, especialmente quando um patch de segurança é lançado. Soluções de segurança com a função de Avaliação de Vulnerabilidades e Gestão de Patches podem automatizar esse processo.
- Escolha uma solução de segurança com qualidade comprovada, como o Kaspersky Endpoint Security, e com detecção baseadas em comportamentos para garantir uma proteção efetiva contra ameaças conhecidas e desconhecidas, incluindo aquelas que exploram vulnerabilidades.
- Conscientize os funcionários sobre as regras básicas de cibersegurança e que eles saibam que muitas das ameaças dirigidas começam com phishing ou outra técnica de engenharia social.
Para mais informações sobre a operação SneakyPastes da Gaza Cybergang está disponível em Securelist.
Sobre a Kaspersky Lab
A Kaspersky Lab é uma empresa internacional de cibersegurança que tem mais de 21 anos de operações no mercado. A detalhada inteligência de ameaças e a especialização em segurança da Kaspersky Lab se transformam continuamente em soluções e serviços de segurança da próxima geração para proteger empresas, infraestruturas críticas, governos e consumidores finais do mundo inteiro. O abrangente portfólio de segurança da empresa inclui excelentes soluções de proteção de endpoints e muitas soluções e serviços de segurança especializada para combater ameaças digitais sofisticadas e em evolução. Mais de 400 milhões de usuários são protegidos pelas tecnologias da Kaspersky Lab, e ajudamos 270.000 clientes corporativos a proteger o que é mais importante para eles. Saiba mais em www.kaspersky.com.br.
Kaspersky Lab descobre a operação de ciberespionagem SneakyPastes
Kaspersky
Artigo relacionado Comunicado à imprensa
Novo golpe do IPVA: promessa de desconto de 50% por e-mail é fraude
Kaspersky revela e-mails persuasivos de golpistas que se passam por guias de pagamento do IPVA, com valores retirados do site legítimoLEIA MAIS >Cibercriminosos usam deepfakes de famosos para enganar vítimas em falsos jogos de aposta, revela Kaspersky
Empresa de cibersegurança explica como golpe funciona e como reconhecer uma deepfake para não se tornar mais uma vítimaLEIA MAIS >Apenas 25% dos brasileiros se sentem seguros usando bancos online ou carteiras digitais
Pesquisa da Kaspersky destaca que entre as razões de uso estão a disponibilidade em todos os momentos e facilidade na transaçãoLEIA MAIS >