.
Chapéu preto Ciberespiões e criminosos patrocinados pelo Estado estão usando cada vez mais serviços de nuvem legítimos para atacar suas vítimas, de acordo com os caçadores de ameaças da Symantec, que identificaram três dessas operações nos últimos meses, além de novas ferramentas de roubo de dados e outros malwares em desenvolvimento por esses bandidos.
Marc Elias, da empresa de segurança, discutiu os diferentes grupos e suas plataformas de nuvem favoritas, durante uma palestra na quarta-feira na conferência de infosec Black Hat. Ele disse O registro os criminosos usam nuvens pelos mesmos motivos que organizações legítimas, além do fato de que elas facilitam a tarefa de evitar ser pego bisbilhotando as redes das vítimas.
“Um dos benefícios é que os custos de infraestrutura são zero para os grupos de estados-nação”, explicou Elias, um caçador de ameaças da Symantec, durante uma entrevista nos arredores da conferência anual de hackers em Las Vegas.
“Eles podem criar contas gratuitas no Google Drive ou Microsoft, e não precisam pagar nada para manter essa infraestrutura”, ele acrescentou. “Além disso, é difícil detectar esses tipos de ataques porque o tráfego é criptografado, e é para domínios legítimos.”
Algumas das campanhas mais recentes incluem um backdoor que a Symantec chamou de “Grager” após detectá-lo sendo usado contra três organizações em Taiwan, Hong Kong e Vietnã em abril. Esse malware usou a Graph API da Microsoft para se comunicar com o servidor de comando e controle do invasor, hospedado no Microsoft OneDrive.
A equipe por trás do backdoor Grager “registrou um domínio malicioso imitando o software 7-Zip real e redirecionou as vítimas para esse domínio malicioso por meio de mecanismos de busca. Então, essa foi uma cadeia de infecção muito interessante – os invasores tentaram ser muito furtivos nessa campanha”, disse Elias.
O grupo de inteligência de ameaças da Symantec publicou hoje uma pesquisa sobre o Grager e várias outras campanhas de estados-nação abusando de ferramentas de nuvem. Com o Grager, eles notaram ligações provisórias a um grupo conhecido como UNC5330 suspeito de ter laços com o governo chinês.
O domínio que hospeda Grager – hxxp://7-zip.tw/a/7z2301-x64[.]msi – é uma URL com typosquatted usada para capturar pessoas que procuram a verdadeira ferramenta de arquivamento de arquivos de código aberto 7-Zip. Uma vez que o malware é baixado, ele instala uma versão trojanizada do 7-Zip na máquina infectada, que então instala o software 7-Zip real, um arquivo malicioso chamado epdevmgr[.]dll, malware Tonerjam e o backdoor Grager.
A Mandiant conectou anteriormente o Tonerjam ao UNC5330. “E em nossa telemetria também, encontramos a mesma amostra do Tonerjam implantada por outro executável benigno associado pela Mandiant ao mesmo grupo”, observou Elias.
De acordo com Elias, em março sua equipe encontrou outro backdoor que se acredita estar em desenvolvimento e nomeado “Moon_Tag” por seu desenvolvedor. Este malware é baseado em código publicado neste Google Group e contém funcionalidade para comunicação com a Graph API. A Symantec atribuiu o MoonTag a um grupo de língua chinesa, com base no Google Group e na infraestrutura usada.
Ainda mais recentemente, a Symantec identificou um backdoor chamado Onedrivetools que foi implantado contra empresas de serviços de TI nos EUA e na Europa. Este software desagradável primeiro instala um downloader que autentica o Graph AI e então baixa e executa um segundo payload armazenado no OneDrive. O payload principal, no entanto, é um arquivo disponível publicamente no GitHub.
O malware cria uma nova pasta no OneDrive para cada computador comprometido e carrega um arquivo no OneDrive que alerta os invasores sobre uma nova infecção. Esse backdoor também dá aos criminosos acesso aos arquivos das vítimas, que eles então exfiltram baixando do OneDrive. A ferramenta de compartilhamento de arquivos em nuvem da Microsoft também é fonte de malware enviado para máquinas infectadas.
A Symantec observa que nesses ataques, a equipe usou uma ferramenta de tunelamento – Whipweave – que eles suspeitam ser construída sobre o projeto chinês de código aberto VPN Free Connect (FCN). Isso se conecta à rede Orbweaver Operational Relay Box (ORB) para ofuscar ainda mais o tráfego malicioso.
“Nos últimos dois anos, vimos muitos grupos APT de estados-nação de diversas regiões geográficas aproveitando serviços de nuvem para que suas campanhas sejam furtivas”, alertou Elias, acrescentando que ele espera que essa tendência cresça apenas por causa dos benefícios para os invasores.
Para ajudar os defensores da rede, a Symantec também publicou uma lista de indicadores de comprometimento e táticas, técnicas e procedimentos MITRE usados pelos invasores – então, confira também. E boa caçada. ®
.
