APT
Na conferência internacional Security Analyst Summit, nossos especialistas da Equipe Global de Pesquisa e Análise da Kaspersky (GReAT, na sigla em inglês) apresentaram algumas pesquisas extremamente interessantes. Não repetiremos cada uma delas detalhadamente, apenas resumiremos brevemente os fatos mais relevantes.
A plataforma de spyware StripedFly
Esta é quase uma história de detetive sobre um malware que anteriormente foi detectado como um minerador comum da criptomoeda Monero, mas na verdade era um disfarce para uma ameaça modular complexa, capaz de infectar computadores que executam Windows e Linux. Vários módulos StripedFly podem roubar informações de um computador, fazer capturas de tela, gravar áudio de um microfone e interceptar senhas de Wi-Fi. No entanto, ele é útil não apenas para espionagem: também possui módulos que podem funcionar como ransomware e para mineração de criptomoedas.
O interessante é que a ameaça pode se espalhar usando o exploit EthernalBlue, embora esse vetor tenha sido corrigido em 2017. Além disso, o StripedFly pode usar chaves e senhas roubadas para infectar sistemas Linux e Windows com um servidor SSH em execução. Um estudo detalhado com indicadores de comprometimento pode ser encontrado no blog Securelist.
Detalhes da Operação Triangulação
Outro relatório apresentado no Security Analyst Summit foi dedicado à conclusão da investigação da Operação Triangulação. Ela, entre outras coisas, teve como alvo os nossos colaboradores. Uma análise detalhada da ameaça permitiu que nossos especialistas detectassem cinco vulnerabilidades no sistema iOS usadas para viabilizar este ataque. Quatro delas (CVE-2023-32434, CVE-2023-32435, CVE-2023-38606 e CVE-2023-41990) eram vulnerabilidades zero-day. Elas afetaram não apenas o iPhone, mas também iPod, iPad, macOS, Apple TV e Apple Watch. Descobriu-se também que, além de infectar dispositivos via iMessage, os invasores poderiam atacar o navegador Safari. Neste post, você pode saber mais detalhes sobre a atuação dos nossos especialistas no contexto desta investigação.
Nova campanha do Lazarus
O terceiro relatório dos especialistas do GReAT foi dedicado aos novos ataques realizados pelo Lazarus APT. Este grupo agora tem como alvo os desenvolvedores de software (alguns dos quais foram atacados várias vezes) e está empregando ativamente ataques à cadeia de suprimentos.
O Lazarus infecta o sistema e aplica um novo implante SIGNBT através de vulnerabilidades em softwares legítimos para criptografar comunicações na web, cuja parte principal opera apenas na memória. Ele serve para estudar a vítima (obter configurações de rede, nomes de processos e usuários), bem como lançar carga maliciosa adicional. Em particular, ele baixa uma versão melhorada da já conhecida backdoor LPEClient, que também roda na memória e, por sua vez, lança malware capaz de roubar credenciais ou outros dados. Informações técnicas sobre as novas ferramentas do grupo Lazarus APT, bem como indicadores de comprometimento, também podem ser encontradas no blog Securelist.
Ataque TetrisPhantom
Além disso, especialistas forneceram detalhes do ataque TetrisPhantom, direcionado às agências governamentais na região da Ásia-Pacífico. O TetrisPhantom depende do comprometimento de certos tipos de unidades USB seguras que fornecem criptografia de hardware e são comumente usadas por organizações governamentais. Ao investigar esta ameaça, os especialistas identificaram toda uma campanha de espionagem que utiliza uma série de módulos maliciosos para executar comandos, coletar arquivos e informações de computadores comprometidos e transferi-los para outras máquinas também usando unidades USB seguras. Alguns detalhes sobre esta campanha podem ser encontrados em nosso relatório trimestral sobre ameaças de APT.
Dicas