Por Ismael Rocha: Uma ameaça persistente avançada (APT) trabalha para acessar redes e sistemas de computadores sem ser detectada ou notada. Essas ameaças, às vezes executadas por um estado-nação ou por um grupo patrocinado por um estado, podem roubar informações privadas e secretas, danificar sistemas de TI e interromper o funcionamento de sistemas vitais. Defender-se contra ameaças persistentes avançadas é uma tarefa difícil, pois elas agem furtivamente e suas invasões podem ser difíceis de reconhecer.
O Brasil é um país com uma grande variedade de setores econômicos, tais como: educação/pesquisa, financeiro, saúde, governamental/militar, varejo, energia, comunicação, tecnologia, entre outros. Estes setores movimentam grandes quantias para governos e organizações, consequentemente despertando o interesse de grupos de ameaças avançadas. Assim, é possível notar o grande aumento dos ataques cibernéticos para obtenção de ganhos financeiros, acesso a arquivos secretos e confidenciais ou desestruturação do país por parte dos cibercriminosos.
Países e segmentos que são alvos do APT41
O grupo APT é conhecido por visar vários países em todo o mundo. Algumas das regiões onde a ameaça já foi ativa incluem Ásia, Europa, América do Norte e América do Sul. Alguns dos países que são alvos conhecidos do APT41 incluem:
É importante salientar que o APT41 é um grupo altamente sofisticado e em constante evolução, então, a lista pode mudar ao longo do tempo. Por esse mesmo motivo, ressaltamos que a lista de segmentos-alvo abaixo também pode sofrer alterações.
Modo de operação da ameaça
A cadeia de ataque do grupo de ameaças avançadas APT41 pode variar dependendo do alvo e dos objetivos específicos do ataque, mas geralmente envolve as etapas a seguir:
- Reconhecimento e coleta de informações: é realizada a pesquisa do alvo e coleta informações para entender a infraestrutura da rede, tecnologias usadas e outros detalhes relevantes;
- Entrega: utiliza-se uma variedade de técnicas para entregar o malware ou payload malicioso ao sistema ou rede da organização, incluindo phishing, spear phishing, malvertising, exploração de vulnerabilidades, entre outras;
- Exploração: após a entrega do payload, o grupo usa técnicas de exploração para buscar vulnerabilidades no sistema ou rede da organização, a fim de obter acesso não autorizado;
- Evasão de defesas: é estabelecida a presença no sistema ou rede da organização, usando técnicas de evasão para evitar detecção;
- Movimento lateral: o grupo se move lateralmente pelo sistema ou rede da organização, buscando informações valiosas;
- Exfiltração de dados: o APT41 coleta e exfiltra dados valiosos da organização, incluindo informações confidenciais, propriedade intelectual e outras informações financeiras e estratégicas;
- Persistência: o APT41 mantém presença persistente no sistema ou rede da organização, permitindo que eles continuem a coletar informações e realizar atividades maliciosas por um período prolongado;
- Impacto e destruição: em alguns casos, o APT41 pode destruir dados ou realizar sabotagem, como parte de sua estratégia geral de ataque.
É importante notar que a cadeia de ataque do APT41 é altamente sofisticada e em constante evolução, e pode incluir outras etapas e/ou variações a depender do alvo e dos objetivos específicos do ataque.
Ferramentas já utilizadas pelo APT41
Foi identificado que o APT41 usa uma variedade de malwares e ferramentas, tanto públicas quanto exclusivas do grupo, para estabelecer uma posição no ambiente da vítima, tais como:
• ASPXSpy
• ACEHASH
• Beacon
• CHINACHOP
• COLDJAVA
• CRACKSHOT
• CROSSWALK
• DEADEYE
• DOWNTIME
• EASYNIGHT
• Gh0st
• HIGHNOON.LITE
• HIGHNOON.PASTEBOY
• HOTCHAI
• HKDOOR
• JUMPALL
• LATELUNCH
• LIFEBOAT
• LOWKEY
• njRAT
• POISONPLUG
• POISONPLUG.SHADOW
• POTROAST
• SAGEHIRE
• SOGU
• SWEETCANDLE
• TERA
• TIDYELF
• XDOOR
• WINTERLOVE
• ZXSHELL
TTPs – MITRE ATT&CK
| Tática | Técnica | Detalhes |
| Defense Evasion Privilege Escalation | T1134 | O APT41 usou uma exploração BADPOTATO ofuscada por ConfuserEx para abusar da representação de canal nomeado para NT AUTHORITY\SYSTEM escalonamento de privilégio local. |
| Persistence | T1098 | Foram adicionadas contas de usuário aos grupos User e Admin. |
| Command and Control | T1071 | O APT41 usou HTTP para baixar cargas úteis para exploits CVE-2019-19781 e CVE-2020-10189. |
| Collection | T1560 | Foi criado um arquivo RAR de arquivos direcionados para exfiltração. |
| Defense Evasion Persistence | T1197 | O APT41 usou o BITSAdmin para baixar e instalar cargas úteis. |
| Persistence Privilege Escalation | T1547 | Foram criados e modifiados arquivos de inicialização para persistência. Foi adicionada uma chave de registro HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost para estabelecer persistência para Cobalt Strike. |
| Credential Access | T1110 | Foram executados ataques de força bruta de senha na conta de administrador local. |
| Execution | T1059 | Aproveitou o PowerShell para implantar famílias de malware nos ambientes das vítimas. |
| Impact | T1486 | Foi usado um ransomware chamado Encryptor RaaS para criptografar arquivos nos sistemas de destino e fornecer uma nota de resgate ao usuário. |
| Privilege Escalation Persistence | T1546 | O APT41 aproveitou as teclas de aderência para estabelecer persistência. |
Indicadores de Comprometimento (IoCs)
A ISH Tecnologia realiza o tratamento de diversos indicadores de compromissos coletados por meio de fontes abertas, fechadas e também de análises realizadas pela equipe de segurança Heimdall. Diante disto, abaixo listamos todos os Indicadores de Compromissos (IOCs) relacionadas a análise do(s) artefato(s) deste relatório.
| Indicadores de compromisso de artefato malicioso/ analisado | |
| md5: | 04fb0ccf3ef309b1cd587f609ab0e81e |
| sha1: | 44260a1dfd92922a621124640015160e621f32d5 |
| sha256: | 993d14d00b1463519fea78ca65d8529663f487cd76b67b3fd35440bcdf7a8e31 |
| File name: | VirusShare_04fb0ccf3ef309b1cd587f609ab0e81e |
| Indicadores de compromisso de artefato malicioso/ analisado | |
| md5: | f8c89ccd8937f2b760e6706738210744 |
| sha1: | f3c222606f890573e6128fbeb389f37bd6f6bda3 |
| sha256: | 4aa6970cac04ace4a930de67d4c18106cf4004ba66670cfcdaa77a4c4821a213 |
| File name: | 24BJCTGH.exe |
| Indicadores de compromisso de artefato malicioso/ analisado | |
| md5: | 46a557fbdce734a6794b228df0195474 |
| sha1: | 41bac813ae07aef41436e8ad22d605f786f9e099 |
| sha256: | 42d138d0938494fd64e1e919707e7201e6675b1122bf30ab51b1ae26adaec921 |
| File name: | |
| Indicadores de compromisso de artefato malicioso/ analisado | |
| md5: | 77c60e5d2d99c3f63f2aea1773ed4653 |
| sha1: | ad77a34627192abdf32daa9208fbde8b4ebfb25c |
| sha256: | 7566558469ede04efc665212b45786a730055770f6ea8f924d8c1e324cae8691 |
| File name: | 7566558469ede04efc665212b45786a730055770f6ea8f924d8c1e324cae8691.vir |
| Indicadores de compromisso de artefato malicioso/ analisado | |
| md5: | 849ab91e93116ae420d2fe2136d24a87 |
| sha1: | 3f1dee370a155dc2e8fb15e776821d7697583c75 |
| sha256: | 7cd17fc948eb5fa398b8554fea036bdb3c0045880e03acbe532f4082c271e3c5 |
| File name: | file.exe.app.dll |
| Indicadores de compromisso de artefato malicioso/ analisado | |
| md5: | 36711896cfeb67f599305b590f195aec |
| sha1: | 1036a7088b060250bb66b6de91f0c6ac462dc24c |
| sha256: | 490c3e4af829e85751a44d21b25de1781cfe4961afdef6bb5759d9451f530994 |
| File name: | 490c3e4af829e85751a44d21b25de1781cfe4961afdef6bb5759d9451f530994.bin |
| Indicadores de compromisso de artefato malicioso/ analisado | |
| md5: | 7d51ea0230d4692eeedc2d5a4cd66d2d |
| sha1: | 5ee7c57dc84391f63eaa3824c53cc10eafc9e388 |
| sha256: | 63e8ed9692810d562adb80f27bb1aeaf48849e468bf5fd157bc83ca83139b6d7 |
| File name: | 63e8ed9692810d562adb80f27bb1aeaf48849e468bf5fd157bc83ca83139b6d7.bin |
| Indicadores de compromisso de artefato malicioso/ analisado | |
| md5: | a0a96138b57ee24eed31b652ddf60d4e |
| sha1: | 03de2118aac6f20786043c7ef0324ef01dcf4265 |
| sha256: | 79190925bd1c3fae65b0d11db40ac8e61fb9326ccfed9b7e09084b891089602d |
| File name: | 79190925bd1c3fae65b0d11db40ac8e61fb9326ccfed9b7e09084b891089602d.bin |
| Indicadores de compromisso de artefato malicioso/ analisado | |
| md5: | ba08b593250c3ca5c13f56e2ca97d85e |
| sha1: | adde0644a572ed593e8b0566698d4e3de0fefb8a |
| sha256: | c51c5bbc6f59407286276ce07f0f7ea994e76216e0abe34cbf20f1b1cbd9446d |
| File name: | c51c5bbc6f59407286276ce07f0f7ea994e76216e0abe34cbf20f1b1cbd9446d |
| Indicadores de compromisso de artefato malicioso/ analisado | |
| md5: | 37e100dd8b2ad8b301b130c2bca3f1ea |
| sha1: | 32466d8d232d7b1801f456fe336615e6fa5e6ffb |
| sha256: | 2eea29d83f485897e2bac9501ef000cc266ffe10019d8c529555a3435ac4aabd |
| File name: | TSMSISrv.DLL |
| Indicadores de compromisso de artefato malicioso/ analisado | |
| md5: | 557ff68798c71652db8a85596a4bab72 |
| sha1: | 971bb08196bba400b07cf213345f55ce0a6eedc8 |
| sha256: | 5d971ed3947597fbb7e51d806647b37d64d9fe915b35c7c9eaf79a37b82dab90 |
| File name: | TSMSISrv.DLL |
| Indicadores de compromisso de artefato malicioso/ analisado | |
| md5: | 830a09ff05eac9a5f42897ba5176a36a |
| sha1: | 2366d181a1697bcb4f368df397dd0533ab8b5d27 |
| sha256: | 70c03ce5c80aca2d35a5555b0532eedede24d4cc6bdb32a2c8f7e630bba5f26e |
| File name: | BARLAIY-70c03ce5c80aca2d35a5555b0532eedede24d4cc6bdb32a2c8f7e630bba5f26e |
| Indicadores de compromisso de artefato malicioso/ analisado | |
| md5: | 7d51ea0230d4692eeedc2d5a4cd66d2d |
| sha1: | 5ee7c57dc84391f63eaa3824c53cc10eafc9e388 |
| sha256: | 63e8ed9692810d562adb80f27bb1aeaf48849e468bf5fd157bc83ca83139b6d7 |
| File name: | 63e8ed9692810d562adb80f27bb1aeaf48849e468bf5fd157bc83ca83139b6d7.bin |
| Indicadores de compromisso de artefato malicioso/ analisado | |
| md5: | b0877494d36fab1f9f4219c3defbfb19 |
| sha1: | 4dc5fadece500ccd8cc49cfcf8a1b59baee3382a |
| sha256: | 3e6c4e97cc09d0432fbbbf3f3e424d4aa967d3073b6002305cd6573c47f0341f |
| File name: | TSMSISrv.DLL |
| Indicadores de compromisso de artefato malicioso/ analisado | |
| md5: | ff8d92dfbcda572ef97c142017eec658 |
| sha1: | 6f065eea36e28403d4d518b8e24bb7a915b612c3 |
| sha256: | f4d57acde4bc546a10cd199c70cdad09f576fdfe66a36b08a00c19ff6ae19661 |
| File name: | TSMSISrv.DLL |
| Indicadores de compromisso de artefato malicioso/ analisado | |
| md5: | ffd0f34739c1568797891b9961111464 |
| sha1: | 82072cb53416c89bfee95b239f9a90677a0848df |
| sha256: | 0055dfaccc952c99b1171ce431a02abfce5c6f8fb5dc39e4019b624a7d03bfcb |
| File name: | ma_lockdown_service.dll |
| Indicadores de compromisso de artefato malicioso/ analisado | |
| md5: | 97363d50a279492fda14cbab53429e75 |
| sha1: | f1a181d29b38dfe60d8ea487e8ed0ef30f064763 |
| sha256: | 462a02a8094e833fd456baf0a6d4e18bb7dab1a9f74d5f163a8334921a4ffde8 |
| File name: | nssock.dll |
| Indicadores de compromisso de artefato malicioso/ analisado | |
| md5: | 5e87b09f9a3f1b728c9797560a38764b |
| sha1: | 67c957c268c1e56cc8eb34b02e5c09eae62680f5 |
| sha256: | 354c174e583e968f0ecf86cc20d59ecd6e0f9d21800428453b8db63f344f0f22 |
| File name: | =?utf-8?B?5Lit5p2x5ZG85ZC45Zmo55eH5YCZ576kKE1FUlMp44Gu5LqI6ZiyLjd6?= |
URLs de distribuição e endereços IP C2:
| byeserver[.]com |
| dnsgogle[.]com |
| gamewushu[.]com |
| gxxservice[.]com |
| ibmupdate[.]com |
| infestexe[.]com |
| kasparsky[.]net |
| linux-update[.]net |
| macfee[.]ga |
| micros0ff[.]com |
| micros0tf[.]com |
| notped[.]com |
| operatingbox[.]com |
| paniesx[.]com |
| serverbye[.]com |
| sexyjapan.ddns[.]info |
| symanteclabs[.]com |
| techniciantext[.]com |
| win7update[.]net |
| xigncodeservice[.]com |
| agegamepay[.]com |
| ageofwuxia[.]com |
| ageofwuxia[.]info |
| ageofwuxia[.]net |
| ageofwuxia[.]org |
Obs: Os links e endereços de IP elencados acima podem estar ativos; cuidado ao realizar a manipulação dos referidos IoCs, evite realizar o clique e se tornar vítima do conteúdo malicioso hospedado no IoC.
Como se proteger do grupo APT41
Além dos indicadores de comprometimento elencados acima pela ISH, poderão ser adotadas medidas visando a mitigação da infecção do referido a ameaças persistentes avançadas, como:
- Manter os softwares atualizados: é importante manter o sistema operacional, aplicativos e software de segurança atualizados com os últimos updates de segurança. Isso ajuda a corrigir vulnerabilidades conhecidas que podem ser exploradas por APTs.
- Usar a autenticação de múltiplos fatores: pode ajudar a proteger contra-ataques de phishing e credenciais roubadas. Ela adiciona uma camada extra de segurança, exigindo que o usuário forneça informações adicionais, além de uma senha, para autenticar-se.
- Não realizar o download de artefatos contidos em e-mails suspeitos e não clicar em links de e-mails que apresentarem ter comportamento malicioso.
- Usar criptografia: pode ajudar a proteger informações confidenciais, como dados de clientes e dados corporativos, de serem acessados por APTs.
- Fazer backup regularmente: cultivar essa prática para com dados críticos pode ajudar a proteger contra perda de dados devido a ataques APT.
- Implementar controles de segurança de rede: como firewalls, IDS/IPS e detecção de ameaças avançadas, podem ajudar a identificar e bloquear APTs antes que eles possam causar danos.
- Realizar treinamentos de conscientização sobre segurança: podem ajudar a educar os usuários sobre as ameaças de segurança e como se proteger contra elas.
- Fazer a análise de comportamento: pode ajudar a detectar atividades suspeitas dentro da rede, como transferência de grandes quantidades de dados para locais desconhecidos ou tentativas de acesso a recursos confidenciais fora do horário de trabalho.
- Adotar uma postura de segurança por toda a empresa: para ser eficaz contra APTs é importante que as empresas adotem uma abordagem abrangente de segurança em toda a empresa, incluindo políticas e procedimentos, controles de segurança e treinamentos regulares de conscientização sobre segurança.
Referências
- Heimdall by ISH Tecnologia
- mandiant
- trendmicro
- hhs.gov