Resumo dos ataques cibernéticos de janeiro de 2022 da Cymulate

A partir de 2022, os agentes de ameaças continuaram refinando suas estratégias de malware e ataque para maximizar os lucros.

Perspectiva sombria

O Microsoft Outlook estava no lado receptor do malware, desta vez um backdoor apelidado de ComLook devido à sua semelhança com a variante de malware ComRAT, que é usada pelo ator Turla, de ameaças persistentes avançadas (APT) patrocinado pela Rússia.

O ComLook tem as mesmas funcionalidades do ComRAT. O malware continha três credenciais codificadas para caixas de correio com uma pasta diferente para novos comandos e resultados carregados para cada caixa de correio. A ComLook usou comandos criptografados, permitindo que o agente da ameaça execute comandos cmd, carregue, baixe arquivos e atualize a configuração do malware. A Turla usou três servidores de e-mail compostos para executar sua própria instância de servidor de e-mail. A comunicação foi criptografada (imaps).

Para se registrar no Microsoft Outlook, o ComLook usa “The Bat!”, que é semelhante ao Turla Outlook. Parecia que o backdoor detectado em janeiro de 2022 tinha como alvo um azerbaijano.

Outro malware detectado em estado selvagem foi um arquivo de lote simples (.bat) com uma pontuação de VT muito baixa (1/53). Um antivírus conseguiu detectar esse arquivo, mas apenas no final do script. O arquivo usou a chamada da API BlockInput por meio de um arquivo de uma linha do PowerShell. Essa API é fornecida pela Microsoft para impedir que um usuário execute ações quando o computador executa operações confidenciais.

A função espera um parâmetro: TRUE ou FALSE. Quando TRUE é passado, ele bloqueia eventos de entrada de teclado e mouse de alcançar aplicativos. Nenhuma interação do usuário com o computador é possível até que a API seja chamada uma segunda vez com “FALSE”. Usar uma chamada para BlockInput em um arquivo em lote é uma maneira eficaz de malware impedir a depuração, bloqueando a interação com o depurador do lado do usuário.

Louco como uma raposa

Como vimos muitas vezes antes, os agentes de ameaças geralmente usam software legítimo para descartar arquivos maliciosos para permanecerem indetectáveis ​​por soluções antivírus. Desta vez, um agente de ameaças levou-o para o próximo nível, separando o ataque em vários arquivos pequenos com taxas de detecção muito baixas por mecanismos AV para implantar a infecção pelo rootkit Purple Fox . Os invasores usaram um instalador de Telegram malicioso que consiste em um script AutoIt compilado chamado “Telegram Desktop.exe”. AutoIt é uma linguagem de programação freeware para Microsoft Windows.

Ascenção de Lazarus

Além disso, o Grupo Lazarus, um dos APTs norte-coreanos mais sofisticados, fez-se sentir novamente em janeiro. Desta vez, o APT lançou ataques de spear phishing armados com documentos maliciosos. Os e-mails estavam disfarçados de oportunidades de trabalho da Lockheed Martin.

O ataque consistiu nas seguintes etapas:

1- Os e-mails continham dois documentos macro-incorporados.

2- Depois que o micro malicioso foi executado, o malware realizou uma série de injeções.

3- O código malicioso usou uma técnica muito incomum e menos conhecida para sequestrar o fluxo de controle e executar código malicioso.

4- O código então alterou as permissões de proteção de memória e substituiu o código “WMIsAvailableOffline” existente na memória com o shellcode malicioso decodificado em base64.

5- O shellcode carregado pela macro continha uma DLL criptografada que usava um método de hash personalizado para resolver as APIs.

6- Os agentes de ameaças usaram o Windows Update para executar a carga maliciosa.

7- Eles usaram o GitHub (nome de usuário “DanielManwarningRep”) como um servidor de comando e controle para dificultar a diferenciação de produtos de segurança entre conexões legítimas e maliciosas.

REvil derrotado

Em uma nota mais leve, o Serviço Federal de Segurança da Rússia (FSB) prendeu 14 membros do ransomware REvil em janeiro, invadindo mais de duas dúzias de endereços em Moscou, São Petersburgo, Leningrado e Lipetsk. O FSB apreendeu mais de US$ 600.000 dólares americanos, 426 milhões de rublos (~US$ 5,5 milhões), 500.000 euros e 20 carros de luxo adquiridos com fundos obtidos de crimes cibernéticos.

Faça um teste gratuito da solução Cymulate e veja ela funcionando na prática.

Fale com nossos especialistas.

Generic selectors
Exact matches only
Search in title
Search in content
Search in posts
Search in pages