Por Ismael Rocha: Uma ameaça persistente avançada (APT) trabalha para acessar redes e sistemas de computadores sem ser detectada ou notada. Essas ameaças, às vezes executadas por um estado-nação ou por um grupo patrocinado por um estado, podem roubar informações privadas e secretas, danificar sistemas de TI e interromper o funcionamento de sistemas vitais. Defender-se contra ameaças persistentes avançadas é uma tarefa difícil, pois elas agem furtivamente e suas invasões podem ser difíceis de reconhecer.
O Brasil é um país com uma grande variedade de setores econômicos, tais como: educação/pesquisa, financeiro, saúde, governamental/militar, varejo, energia, comunicação, tecnologia, entre outros. Estes setores movimentam grandes quantias para governos e organizações, consequentemente despertando o interesse de grupos de ameaças avançadas. Assim, é possível notar o grande aumento dos ataques cibernéticos para obtenção de ganhos financeiros, acesso a arquivos secretos e confidenciais ou desestruturação do país por parte dos cibercriminosos.
Sobre o Red Apollo (APT10)
O APT10 (Red Apollo) é um grupo de ameaças cibernéticas que é amplamente acreditado como uma operação patrocinada pelo estado chinês. Eles são conhecidos por terem como alvo organizações ao redor do mundo em várias indústrias, incluindo tecnologia da informação, comunicações, engenharia, aeroespacial e outras.
O objetivo principal do APT10 é roubar propriedade intelectual, informações confidenciais e dados de organizações em todo o mundo para benefício econômico. Eles geralmente realizam suas operações por meio de phishing, malware personalizado e outras técnicas avançadas de engenharia social para obter acesso a redes corporativas e exfiltrar dados.
O grupo também é conhecido por suas operações de longo prazo e pela capacidade de permanecer oculto nas redes das vítimas por meses ou mesmo anos, permitindo que eles obtenham uma quantidade significativa de dados confidenciais. O APT10 Red Apollo é considerado um dos grupos de ameaças cibernéticas mais avançado e persistente atualmente ativo.
TTPs – MITRE ATT&CK
| Tática | Técnica | Detalhes |
| Discovery | T1046 | Os atacantes tentam obter uma lista de serviços executados em hosts remotos e dispositivos de infraestrutura de rede local, incluindo aqueles que podem ser vulneráveis à exploração de software remoto. |
| Initial Access | T1566 | Envio de documentos maliciosos do Office por e-mail como parte de campanhas de spearphishing, bem como executáveis disfarçados de documentos. |
| Execution | T1204 | Tenta fazer com que as vitimas abram arquivos maliciosos, como atalhos do Windows (.lnk) e/ou documentos do Microsoft Office, enviados por e-mail. |
| Execution | T1059 | Uso do PowerSploit para injetar shellcode no PowerShell. |
| Lateral Movement | T1021 | Uso de conexões RDP para se mover pela rede da vítima. |
| Defense Evasion | T1027 | Codificação de strings em seu malware com base64, bem como com uma ofuscação XOR simples de byte único usando a chave 0x40. |
| Defense Evasion | T1036 | Uso do esentutl para alterar as extensões de arquivo para seu tipo verdadeiro que estavam mascarados como arquivos .txt. |
| Initial Access | T1078 | Uso de contas válidas, inclusive compartilhadas entre provedores de serviços gerenciados e clientes, para se mover entre os dois ambientes. |
Indicadores de Comprometimento (IoCs)
A ISH Tecnologia realiza o tratamento de diversos indicadores de compromissos coletados por meio de fontes abertas, fechadas e também de análises realizadas pela equipe de segurança Heimdall. Diante disto, abaixo listamos todos os Indicadores de Compromissos (IOCs) relacionadas a análise do(s) artefato(s) deste relatório.
| Indicadores de compromisso de artefato malicioso/ analisado | |
| md5: | 577a47811b3c57a663bcbf2aab99c9e3 |
| sha1: | dbc48357bfbe41f5bfdd3045066486e76a23ad2d |
| sha256: | 70225015489cae369d311b62724ef0caf658ffdf62e5edbafd8267a8842e7696 |
| File name: | 70225015489cae369d311b62724ef0caf658ffdf62e5edbafd8267a8842e7696.bin |
| Indicadores de compromisso de artefato malicioso/ analisado | |
| md5: | 69ef2d7f9ed29840b60a7fd32030cbd1 |
| sha1: | b24e254f6fdd67318547915495f56f8f2a0ac4fe |
| sha256: | 91f8805e64f434099d0137d0b7ebf3db3ccbf5d76cd071d1604e3e12a348f2d9 |
| File name: | mpclient.dll |
| Indicadores de compromisso de artefato malicioso/ analisado | |
| md5: | f259765905cd16ff40132f35c85a862a |
| sha1: | d9efd4c4e1fb4e3d4a171c4ca0985839ad1cdee9 |
| sha256: | 7fe5674c9a3af8413d0ec71072a1c27d39edc14e4d110bfeb79d1148d55ce0b6 |
| File name: | 7fe5674c9a3af8413d0ec71072a1c27d39edc14e4d110bfeb79d1148d55ce0b6.bin |
| Indicadores de compromisso de artefato malicioso/ analisado | |
| md5: | bde2a3c8e034d30ce13e684f324c6702 |
| sha1: | a413f4bcb7406710b76fabdaba95bb4690b24406 |
| sha256: | f04f444d9f17d4534d37d3369bf0b20415186862986e62a25f59fd0c2c87562f |
| File name: | mpclient.dll |
| Indicadores de compromisso de artefato malicioso/ analisado | |
| md5: | 0c4a84b66832a08dccc42b478d9d5e1b |
| sha1: | 160320b920a5ef22ac17b48146152ffbef60461f |
| sha256: | 5b56c5d86347e164c6e571c86dbf5b1535eae6b979fede6ed66b01e79ea33b7b |
| File name: | 5b56c5d86347e164c6e571c86dbf5b1535eae6b979fede6ed66b01e79ea33b7b.exe |
| Indicadores de compromisso de artefato malicioso/ analisado | |
| md5: | 4c3c7053ec145ad3976b2a84038c5feb |
| sha1: | 3246867705e8aad60491fe195bcc83af79470b22 |
| sha256: | 15b52c468cfd4dee4599ec22b1c04b977416fbe5220ab30a097f403903d28a3a |
| File name: | vmtools.ini |
| Indicadores de compromisso de artefato malicioso/ analisado | |
| md5: | a4a6abf4ed4c9447683fba729a17197b |
| sha1: | ead02cb3f6b811427f2635a18398392bc2ebca3a |
| sha256: | b0fb6c7eecbf711b2c503d7f8f3cf949404e2dd256b621c8cf1f3a2bdfb54301 |
| File name: | glib-2.0.dll |
| Indicadores de compromisso de artefato malicioso/ analisado | |
| md5: | 809fcab1225981e87060033d72edaeaf |
| sha1: | 64f5044709efc77230484cec8a0d784947056022 |
| sha256: | 62fea3942e884855283faf3fb68f41be747c5baa922d140509237c2d7bacdd17 |
| File name: | 62fea3942e884855283faf3fb68f41be747c5baa922d140509237c2d7bacdd17.bin |
| Indicadores de compromisso de artefato malicioso/ analisado | |
| md5: | b16bb2f910f21e2d4f6e2aa1a1ea0d8b |
| sha1: | a75e9b702a892cc3e531e158ab2e4206b939f379 |
| sha256: | 8502852561fcb867d9cbf45ac24c5985fa195432b542dbf8753d5f3d7175b120 |
| File name: | LockDown.dll |
| Indicadores de compromisso de artefato malicioso/ analisado | |
| md5: | 78c309be8437e7c1d2dd3f12d7c034c8 |
| sha1: | 8c4f32b532dcbec914228baf16cf6b21fb12e2fc |
| sha256: | c10d7ea92fa96c79cfc3dd6957cad346ae3efd611eb4cca6e368c5c0fcad87be |
| File name: | sample.doc |
| Indicadores de compromisso de artefato malicioso/ analisado | |
| md5: | 77c02893cf4a86ad2fd629aea4db772f |
| sha1: | 851234d83f283c87b9195178b8e6af6e7836fb1a |
| sha256: | 00d33ab9a73211ba9ed30d0afbe8cc2a1a2a4a60c90fe7f13fa2250d92a7ad85 |
| File name: | tw.rtf |
| Indicadores de compromisso de artefato malicioso/ analisado | |
| md5: | db212129be94fe77362751c557d0e893 |
| sha1: | 7fe6c8191749767254513b03da03cfbf6dd6c139 |
| sha256: | fadf362a52dcf884f0d41ce3df9eaa9bb30227afda50c0e0657c096baff501f0 |
| File name: | db212129be94fe77362751c557d0e893.vir |
| Indicadores de compromisso de artefato malicioso/ analisado | |
| md5: | faf9576ce2af23aac67d3087eb85a92b |
| sha1: | daadf23bf09519e77a8d9259164e893bddd6e621 |
| sha256: | db28df72ac3a076cc80eae301c4a1bcb1feab27331f33c928a99879f8290bcb3 |
| File name: | Adobechoose.exe |
| Indicadores de compromisso de artefato malicioso/ analisado | |
| md5: | e6c596cfa163fe9b8883c7618d594018 |
| sha1: | 4bc116cfb79ed3f116b8c1da4d82a435adf7c534 |
| sha256: | c5e9df74abe15f2751681117fd7efbce03f93157a3ccc314d51da9060dab3790 |
| File name: | scvhost |
| Indicadores de compromisso de artefato malicioso/ analisado | |
| md5: | 172ce304ce8946ae7be8d223d4520d80 |
| sha1: | c90b19dd970360ad8a0bc74ee6ecf3a002714698 |
| sha256: | d97e64eef62f109d19cb00651224fdfcfb2a14317c420096230627680be0bd78 |
| File name: | Invitation.doc |
| Indicadores de compromisso de artefato malicioso/ analisado | |
| md5: | b08694e14a9b966d8033b42b58ab727d |
| sha1: | 6716078e371d4bce479e35146c25a753b2b02202 |
| sha256: | af69ad95e6564d682b0f8220dd8c4cca61b60227add59c883eea960350747084 |
| File name: | PiShellPut |
| Indicadores de compromisso de artefato malicioso/ analisado | |
| md5: | 05ac9875df6a4e1b7b7a21099d27caaf |
| sha1: | 6a1ce9b2c7d8b1309941d8ce06278d3ab6eb6a2a |
| sha256: | 68bad787576e8766b6d1747c25829c784ddc9a9783872a50e6b5ee10fe17d6c3 |
| File name: | vt-upload-Db6R6 |
| Indicadores de compromisso de artefato malicioso/ analisado | |
| md5: | bd092cc922a8f83880b896a0911774a6 |
| sha1: | 06c9661095a9063c8028c493874f178b15aa73f4 |
| sha256: | 02b3114e249b11d6f051450356704ddf7871aecbdbab5657fc0ccd17ce13e514 |
| File name: | Live360.exe |
| Indicadores de compromisso de artefato malicioso/ analisado | |
| md5: | 056725205f97051a381ebe7894ba0671 |
| sha1: | 5fd8e622f205a2ffb408399eb3848a33058fdfc6 |
| sha256: | b88fe756176e2ee448bdc1f19c5c5675ecf465034a77e106679970b787942511 |
| File name: | kugou.dll |
| Indicadores de compromisso de artefato malicioso/ analisado | |
| md5: | 156ce6a9d3eaac1584b8df714a35c530 |
| sha1: | 75800a58d1c42ecba6415c3b5b3a07e65019b456 |
| sha256: | 98aefbea97d086f0bbe082b6bb7499f4ee1fbf707766f3b2739ed99857802ad8 |
| File name: | 1.xls |
| Indicadores de compromisso de artefato malicioso/ analisado | |
| md5: | 667989ffa5e77943f3384e78adf93510 |
| sha1: | aee17dbab01ed334bb94506fcbc2ed259242159e |
| sha256: | 7eeaa97d346bc3f8090e5b742f42e8900127703420295279ac7e04d06ebe0a04 |
| File name: | 667989ffa5e77943f3384e78adf93510.virobj |
URLs de distribuição e endereços IP C2:
| 114.55[.]109[.]199 |
| 185.225[.]17[.]39 |
| 43.254[.]216[.]104 |
| 45.124[.]115[.]103 |
| 161.82[.]181[.]4 |
| 43.254[.]219[.]153 |
| 45.124[.]115[.]103 |
| 185.225[.]19[.]17 |
| 94.158[.]245[.]249 |
| 5.252[.]179[.]227 |
| 222.186[.]151[.]141 |
| 47.111[.]22[.]65 |
| 154.223[.]141[.]36 |
| 103.139[.]2[.]93 |
| apple[.]ikwb[.]com |
| support1[.]mrface[.]com |
| unspa[.]hostport9[.]net |
| aotuo[.]9966[.]org |
| dedydns[.]ns01[.]us |
| services[.]arkouowi[.]com |
| creatos[.]kozow[.]com |
| quick[.]oldbmwy[.]com |
| jepsen[.]r3u8[.]com |
| sakai[.]unhamj[.]com |
| nttdata[.]otzo[.]com |
| forward[.]davidgagnon[.]org |
| cvnx[.]zyns[.]com |
| zebra[.]wthelpdesk[.]com |
| algorithm[.]ddnsgeek[.]com |
| music[.]websegoo[.]net |
| hk[.]have8000[.]com |
| fbi[.]sexxxy[.]biz |
| friendlysupport[.]giize[.]com |
| idpmus[.]hostport9[.]net |
| lion[.]wchildress[.]com |
| vm[.]vmdnsup[.]org |
| scorpion[.]poulsenv[.]com |
| web[.]casacam[.]net |
| synssl[.]dnset[.]com |
| smo[.]gadskysun[.]com |
| abcd120719[.]6600[.]org |
| firtstdata[.]kozow[.]com |
| nunluck[.]re26[.]com |
| send[.]mofa[.]ns01[.]info |
| bulk[.]tmpxctl[.]com |
| yz[.]chromeenter[.]com |
| kawasaki[.]cloud-maste[.]com |
| un[.]dnsrd[.]com |
| record[.]wschandler[.]com |
| tv [.]goldtoyota[.]com |
| cpu[.]4pu[.]com |
| av[.]ddns[.]us |
| send[.]have8000[.]com |
| contacts[.]rvenee[.]com |
| trems[.]rvenee[.]com |
| video[.]vmdnsup[.]org |
| www[.]jadl-or[.]com |
| art[.]p6p6[.]net |
| vmyiersend[.]websago[.]info |
| trasul[.]mypicture[.]info |
| 1j[.]www1[.]biz |
| google[.]usrobothome[.]com |
| bak[.]have8000[.]com |
| google[.]macforlinux[.]net |
| herring[.]kozow[.]com |
| be[.]yourtrap[.]com |
| grandeur[.]kozow[.]com |
| wike[.]wikaba[.]com |
| bk56[.]twilightparadox[.]com |
| kmd[.]crabdance[.]com |
| img[.]microtoo[.]info |
| inspgon[.]re26[.]com |
| iphone[.]vizvaz[.]com |
| babyprintf[.]2288[.]org |
| cia[.]toh[.]info |
| last[.]p6p6[.]net |
| jimin[.]jimindaddy[.]com |
| stone[.]jumpingcrab[.]com |
| sky[.]oldbmwy[.]com |
| army[.]xxuz[.]com |
| sh[.]chromeenter[.]com |
| mailj[.]hostport9[.]net |
| domain[.]casacam[.]net |
| applelib120102[.]9966[.]org |
| szdns[.]etfiber[.]net |
| 2014[.]zzux[.]com |
| voov[.]2288[.]org |
| document[.]methoder[.]com |
| sbuudd[.]webssl9[.]info |
| baby[.]macforlinux[.]net |
| ducksow[.]ddnsgeek[.]com |
| jpn[.]longmusic[.]com |
| malware[.]dsmtp[.]com |
| zone[.]usrobothome[.]com |
| area[.]wthelpdesk[.]com |
| resource[.]arkouowi[.]com |
| sendmsg[.]jumpingcrab[.]com |
| japan[.]fuckanti[.]com |
| hk[.]cmdnetview[.]com |
| record[.]hostport9[.]net |
| cao[.]p6p6[.]net |
| im[.]suibian2010[.]info |
| taipei[.]yourtrap[.]com |
| sstday[.]jkub[.]com |
| diamond[.]ninth[.]biz |
| start[.]usrobothome[.]com |
| amsidgoo[.]thedomais[.]info |
| janpan[.]bigmoney[.]biz |
| info[.]uroljp[.]com |
| iu[.]niushenghuo[.]info |
| usa[.]radiorig[.]com |
| fukuoka[.]cloud-maste[.]com |
| sz[.]thedomais[.]info |
| whellbuy[.]wschandler[.]com |
| app[.]lehigtapp[.]com |
| firefoxcomt[.]arkouowi[.]com |
| kawasaki[.]unhamj[.]com |
| drives[.]methoder[.]com |
| apple[.]cmdnetview[.]com |
| messagea[.]emailfound[.]info |
| gold[.]polopurple[.]com |
| sdmsg[.]onmypc[.]org |
| fiveavmersi[.]websegoo[.]net |
| dick[.]ccfchrist[.]com |
| byeserver[.]com |
| dnsgogle[.]com |
| gamewushu[.]com |
| gxxservice[.]com |
| ibmupdate[.]com |
| infestexe[.]com |
| kasparsky[.]net |
| linux-update[.]net |
| macfee[.]ga |
| micros0ff[.]com |
| micros0tf[.]com |
| notped[.]com |
| operatingbox[.]com |
| paniesx[.]com |
| serverbye[.]com |
| sexyjapan.ddns[.]info |
| symanteclabs[.]com |
| techniciantext[.]com |
| win7update[.]net |
| xigncodeservice[.]com |
| agegamepay[.]com |
| ageofwuxia[.]com |
| ageofwuxia[.]info |
| ageofwuxia[.]net |
| ageofwuxia[.]org |
Obs: Os links e endereços de IP elencados acima podem estar ativos; cuidado ao realizar a manipulação dos referidos IoCs, evite realizar o clique e se tornar vítima do conteúdo malicioso hospedado no IoC.
Por que ter uma equipe de Threat Hunting?
O maior perigo de uma APT é que ela pode permanecer ativa por longos períodos, geralmente passando despercebida pelas defesas de segurança cibernética, permitindo que os invasores exfiltrem informações valiosas e causem danos significativos. Uma das principais características de uma APT é sua capacidade de evitar a detecção pelas soluções de segurança tradicionais, como firewalls e antivírus. Os grupos de ameaças avançadas muitas vezes utilizam técnicas sofisticadas de engenharia social, phishing e engenharia reversa para se infiltrarem em redes corporativas e instituições governamentais, causando grandes prejuízos financeiros.
As soluções de segurança tradicionais, como firewalls e antivírus, são eficazes na detecção de ameaças conhecidas, mas podem falhar em detectar novas ameaças que são projetadas especificamente para evitá-las. A equipe de Threat Hunting busca proativamente por ameaças em toda a infraestrutura de TI da organização, usando técnicas avançadas de análise de ameaças e investigação forense para encontrar atividades suspeitas ou anomalias que possam indicar a presença de uma ameaça. Isso permite que a equipe tome medidas imediatas para interromper ou neutralizar uma ameaça antes que ela cause danos significativos à organização.
Em resumo, um time de Threat Hunting (caça a ameaças) é importante porque fornece uma camada adicional de proteção proativa contra ameaças cibernéticas, permitindo que as organizações possam identificar e responder a ameaças cibernéticas avançadas de forma mais rápida e eficaz.
Como se proteger do grupo Red Apollo
Além dos indicadores de comprometimento elencados abaixo pela ISH, poderão ser adotadas medidas visando a mitigação da infecção do referido a ameaças persistentes avançadas, como:
- Manter os softwares atualizados: é importante manter o sistema operacional, aplicativos e software de segurança atualizados com os últimos updates de segurança. Isso ajuda a corrigir vulnerabilidades conhecidas que podem ser exploradas por APTs.
- Usar a autenticação de múltiplos fatores: pode ajudar a proteger contra-ataques de phishing e credenciais roubadas. Ela adiciona uma camada extra de segurança, exigindo que o usuário forneça informações adicionais, além de uma senha, para autenticar-se.
- Não realizar o download de artefatos contidos em e-mails suspeitos e não clicar em links de e-mails que apresentarem ter comportamento malicioso.
- Usar criptografia: pode ajudar a proteger informações confidenciais, como dados de clientes e dados corporativos, de serem acessados por APTs.
- Fazer backup regularmente: cultivar essa prática para com dados críticos pode ajudar a proteger contra perda de dados devido a ataques APT.
- Implementar controles de segurança de rede: como firewalls, IDS/IPS e detecção de ameaças avançadas, podem ajudar a identificar e bloquear APTs antes que eles possam causar danos.
- Realizar treinamentos de conscientização sobre segurança: podem ajudar a educar os usuários sobre as ameaças de segurança e como se proteger contra elas.
- Fazer a análise de comportamento: pode ajudar a detectar atividades suspeitas dentro da rede, como transferência de grandes quantidades de dados para locais desconhecidos ou tentativas de acesso a recursos confidenciais fora do horário de trabalho.
- Adotar uma postura de segurança por toda a empresa: para ser eficaz contra APTs é importante que as empresas adotem uma abordagem abrangente de segurança em toda a empresa, incluindo políticas e procedimentos, controles de segurança e treinamentos regulares de conscientização sobre segurança.
Referências
- Heimdall by ISH Tecnologia
- Mitre att&ck
- Report publicado pela Cyware
- Alienvault