Principais grupos de ameaças que visam o Brasil: conheça o APT41

Por Ismael Rocha: Uma ameaça persistente avançada (APT) trabalha para acessar redes e sistemas de computadores sem ser detectada ou notada. Essas ameaças, às vezes executadas por um estado-nação ou por um grupo patrocinado por um estado, podem roubar informações privadas e secretas, danificar sistemas de TI e interromper o funcionamento de sistemas vitais. Defender-se contra ameaças persistentes avançadas é uma tarefa difícil, pois elas agem furtivamente e suas invasões podem ser difíceis de reconhecer.

O Brasil é um país com uma grande variedade de setores econômicos, tais como: educação/pesquisa, financeiro, saúde, governamental/militar, varejo, energia, comunicação, tecnologia, entre outros. Estes setores movimentam grandes quantias para governos e organizações, consequentemente despertando o interesse de grupos de ameaças avançadas. Assim, é possível notar o grande aumento dos ataques cibernéticos para obtenção de ganhos financeiros, acesso a arquivos secretos e confidenciais ou desestruturação do país por parte dos cibercriminosos.

Países e segmentos que são alvos do APT41

O grupo APT é conhecido por visar vários países em todo o mundo. Algumas das regiões onde a ameaça já foi ativa incluem Ásia, Europa, América do Norte e América do Sul. Alguns dos países que são alvos conhecidos do APT41 incluem:

Figura 1 – Mapa de países-alvo do grupo

É importante salientar que o APT41 é um grupo altamente sofisticado e em constante evolução, então, a lista pode mudar ao longo do tempo. Por esse mesmo motivo, ressaltamos que a lista de segmentos-alvo abaixo também pode sofrer alterações.

Figura 2 – Segmentos-alvo do APT41

Modo de operação da ameaça

A cadeia de ataque do grupo de ameaças avançadas APT41 pode variar dependendo do alvo e dos objetivos específicos do ataque, mas geralmente envolve as etapas a seguir:

Figura 3 – Modo de operação do grupo APT41
  1. Reconhecimento e coleta de informações: é realizada a pesquisa do alvo e coleta informações para entender a infraestrutura da rede, tecnologias usadas e outros detalhes relevantes;
  2. Entrega: utiliza-se uma variedade de técnicas para entregar o malware ou payload malicioso ao sistema ou rede da organização, incluindo phishing, spear phishing, malvertising, exploração de vulnerabilidades, entre outras;
  3. Exploração: após a entrega do payload, o grupo usa técnicas de exploração para buscar vulnerabilidades no sistema ou rede da organização, a fim de obter acesso não autorizado;
  4. Evasão de defesas: é estabelecida a presença no sistema ou rede da organização, usando técnicas de evasão para evitar detecção;
  5. Movimento lateral: o grupo se move lateralmente pelo sistema ou rede da organização, buscando informações valiosas;
  6. Exfiltração de dados: o APT41 coleta e exfiltra dados valiosos da organização, incluindo informações confidenciais, propriedade intelectual e outras informações financeiras e estratégicas;
  7. Persistência: o APT41 mantém presença persistente no sistema ou rede da organização, permitindo que eles continuem a coletar informações e realizar atividades maliciosas por um período prolongado;
  8. Impacto e destruição: em alguns casos, o APT41 pode destruir dados ou realizar sabotagem, como parte de sua estratégia geral de ataque.

É importante notar que a cadeia de ataque do APT41 é altamente sofisticada e em constante evolução, e pode incluir outras etapas e/ou variações a depender do alvo e dos objetivos específicos do ataque.

Ferramentas já utilizadas pelo APT41

Foi identificado que o APT41 usa uma variedade de malwares e ferramentas, tanto públicas quanto exclusivas do grupo, para estabelecer uma posição no ambiente da vítima, tais como:

• ASPXSpy

• ACEHASH

• Beacon

• CHINACHOP

• COLDJAVA

• CRACKSHOT

• CROSSWALK

• DEADEYE

• DOWNTIME

• EASYNIGHT

• Gh0st

• HIGHNOON.LITE

• HIGHNOON.PASTEBOY

• HOTCHAI

• HKDOOR

• JUMPALL

• LATELUNCH

• LIFEBOAT

• LOWKEY

• njRAT

• POISONPLUG

• POISONPLUG.SHADOW

• POTROAST

• SAGEHIRE

• SOGU

• SWEETCANDLE

• TERA

• TIDYELF

• XDOOR

• WINTERLOVE

• ZXSHELL

TTPs – MITRE ATT&CK

TáticaTécnicaDetalhes
Defense Evasion Privilege EscalationT1134O APT41 usou uma exploração BADPOTATO ofuscada por ConfuserEx para abusar da representação de canal nomeado para NT AUTHORITY\SYSTEM escalonamento de privilégio local.
PersistenceT1098Foram adicionadas contas de usuário aos grupos User e Admin.
Command and ControlT1071O APT41 usou HTTP para baixar cargas úteis para exploits CVE-2019-19781 e CVE-2020-10189.
CollectionT1560Foi criado um arquivo RAR de arquivos direcionados para exfiltração.
Defense Evasion PersistenceT1197O APT41 usou o BITSAdmin para baixar e instalar cargas úteis.
Persistence Privilege EscalationT1547Foram criados e modifiados arquivos de inicialização para persistência. Foi adicionada uma chave de registro  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost para estabelecer persistência para Cobalt Strike.
Credential AccessT1110Foram executados ataques de força bruta de senha na conta de administrador local.
ExecutionT1059Aproveitou o PowerShell para implantar famílias de malware nos ambientes das vítimas.
ImpactT1486Foi usado um ransomware chamado Encryptor RaaS para criptografar arquivos nos sistemas de destino e fornecer uma nota de resgate ao usuário.
Privilege Escalation PersistenceT1546O APT41 aproveitou as teclas de aderência para estabelecer persistência.

Indicadores de Comprometimento (IoCs)

A ISH Tecnologia realiza o tratamento de diversos indicadores de compromissos coletados por meio de fontes abertas, fechadas e também de análises realizadas pela equipe de segurança Heimdall. Diante disto, abaixo listamos todos os Indicadores de Compromissos (IOCs) relacionadas a análise do(s) artefato(s) deste relatório.

Indicadores de compromisso de artefato malicioso/ analisado
md5:04fb0ccf3ef309b1cd587f609ab0e81e
sha1:44260a1dfd92922a621124640015160e621f32d5
sha256:993d14d00b1463519fea78ca65d8529663f487cd76b67b3fd35440bcdf7a8e31
File name:VirusShare_04fb0ccf3ef309b1cd587f609ab0e81e
Indicadores de compromisso de artefato malicioso/ analisado
md5:f8c89ccd8937f2b760e6706738210744
sha1:f3c222606f890573e6128fbeb389f37bd6f6bda3
sha256:4aa6970cac04ace4a930de67d4c18106cf4004ba66670cfcdaa77a4c4821a213
File name:24BJCTGH.exe
Indicadores de compromisso de artefato malicioso/ analisado
md5:46a557fbdce734a6794b228df0195474
sha1:41bac813ae07aef41436e8ad22d605f786f9e099
sha256:42d138d0938494fd64e1e919707e7201e6675b1122bf30ab51b1ae26adaec921
File name: 
Indicadores de compromisso de artefato malicioso/ analisado
md5:77c60e5d2d99c3f63f2aea1773ed4653
sha1:ad77a34627192abdf32daa9208fbde8b4ebfb25c
sha256:7566558469ede04efc665212b45786a730055770f6ea8f924d8c1e324cae8691
File name:7566558469ede04efc665212b45786a730055770f6ea8f924d8c1e324cae8691.vir
Indicadores de compromisso de artefato malicioso/ analisado
md5:849ab91e93116ae420d2fe2136d24a87
sha1:3f1dee370a155dc2e8fb15e776821d7697583c75
sha256:7cd17fc948eb5fa398b8554fea036bdb3c0045880e03acbe532f4082c271e3c5
File name:file.exe.app.dll
Indicadores de compromisso de artefato malicioso/ analisado
md5:36711896cfeb67f599305b590f195aec
sha1:1036a7088b060250bb66b6de91f0c6ac462dc24c
sha256:490c3e4af829e85751a44d21b25de1781cfe4961afdef6bb5759d9451f530994
File name:490c3e4af829e85751a44d21b25de1781cfe4961afdef6bb5759d9451f530994.bin
Indicadores de compromisso de artefato malicioso/ analisado
md5:7d51ea0230d4692eeedc2d5a4cd66d2d
sha1:5ee7c57dc84391f63eaa3824c53cc10eafc9e388
sha256:63e8ed9692810d562adb80f27bb1aeaf48849e468bf5fd157bc83ca83139b6d7
File name:63e8ed9692810d562adb80f27bb1aeaf48849e468bf5fd157bc83ca83139b6d7.bin
Indicadores de compromisso de artefato malicioso/ analisado
md5:a0a96138b57ee24eed31b652ddf60d4e
sha1:03de2118aac6f20786043c7ef0324ef01dcf4265
sha256:79190925bd1c3fae65b0d11db40ac8e61fb9326ccfed9b7e09084b891089602d
File name:79190925bd1c3fae65b0d11db40ac8e61fb9326ccfed9b7e09084b891089602d.bin
Indicadores de compromisso de artefato malicioso/ analisado
md5:ba08b593250c3ca5c13f56e2ca97d85e
sha1:adde0644a572ed593e8b0566698d4e3de0fefb8a
sha256:c51c5bbc6f59407286276ce07f0f7ea994e76216e0abe34cbf20f1b1cbd9446d
File name:c51c5bbc6f59407286276ce07f0f7ea994e76216e0abe34cbf20f1b1cbd9446d
Indicadores de compromisso de artefato malicioso/ analisado
md5:37e100dd8b2ad8b301b130c2bca3f1ea
sha1:32466d8d232d7b1801f456fe336615e6fa5e6ffb
sha256:2eea29d83f485897e2bac9501ef000cc266ffe10019d8c529555a3435ac4aabd
File name:TSMSISrv.DLL
Indicadores de compromisso de artefato malicioso/ analisado
md5:557ff68798c71652db8a85596a4bab72
sha1:971bb08196bba400b07cf213345f55ce0a6eedc8
sha256:5d971ed3947597fbb7e51d806647b37d64d9fe915b35c7c9eaf79a37b82dab90
File name:TSMSISrv.DLL
Indicadores de compromisso de artefato malicioso/ analisado
md5:830a09ff05eac9a5f42897ba5176a36a
sha1:2366d181a1697bcb4f368df397dd0533ab8b5d27
sha256:70c03ce5c80aca2d35a5555b0532eedede24d4cc6bdb32a2c8f7e630bba5f26e
File name:BARLAIY-70c03ce5c80aca2d35a5555b0532eedede24d4cc6bdb32a2c8f7e630bba5f26e
Indicadores de compromisso de artefato malicioso/ analisado
md5:7d51ea0230d4692eeedc2d5a4cd66d2d
sha1:5ee7c57dc84391f63eaa3824c53cc10eafc9e388
sha256:63e8ed9692810d562adb80f27bb1aeaf48849e468bf5fd157bc83ca83139b6d7
File name:63e8ed9692810d562adb80f27bb1aeaf48849e468bf5fd157bc83ca83139b6d7.bin
Indicadores de compromisso de artefato malicioso/ analisado
md5:b0877494d36fab1f9f4219c3defbfb19
sha1:4dc5fadece500ccd8cc49cfcf8a1b59baee3382a
sha256:3e6c4e97cc09d0432fbbbf3f3e424d4aa967d3073b6002305cd6573c47f0341f
File name:TSMSISrv.DLL
Indicadores de compromisso de artefato malicioso/ analisado
md5:ff8d92dfbcda572ef97c142017eec658
sha1:6f065eea36e28403d4d518b8e24bb7a915b612c3
sha256:f4d57acde4bc546a10cd199c70cdad09f576fdfe66a36b08a00c19ff6ae19661
File name:TSMSISrv.DLL
Indicadores de compromisso de artefato malicioso/ analisado
md5:ffd0f34739c1568797891b9961111464
sha1:82072cb53416c89bfee95b239f9a90677a0848df
sha256:0055dfaccc952c99b1171ce431a02abfce5c6f8fb5dc39e4019b624a7d03bfcb
File name:ma_lockdown_service.dll
Indicadores de compromisso de artefato malicioso/ analisado
md5:97363d50a279492fda14cbab53429e75
sha1:f1a181d29b38dfe60d8ea487e8ed0ef30f064763
sha256:462a02a8094e833fd456baf0a6d4e18bb7dab1a9f74d5f163a8334921a4ffde8
File name:nssock.dll
Indicadores de compromisso de artefato malicioso/ analisado
md5:5e87b09f9a3f1b728c9797560a38764b
sha1:67c957c268c1e56cc8eb34b02e5c09eae62680f5
sha256:354c174e583e968f0ecf86cc20d59ecd6e0f9d21800428453b8db63f344f0f22
File name:=?utf-8?B?5Lit5p2x5ZG85ZC45Zmo55eH5YCZ576kKE1FUlMp44Gu5LqI6ZiyLjd6?=

URLs de distribuição e endereços IP C2:

byeserver[.]com
dnsgogle[.]com
gamewushu[.]com
gxxservice[.]com
ibmupdate[.]com
infestexe[.]com
kasparsky[.]net
linux-update[.]net
macfee[.]ga
micros0ff[.]com
micros0tf[.]com
notped[.]com
operatingbox[.]com
paniesx[.]com
serverbye[.]com
sexyjapan.ddns[.]info
symanteclabs[.]com
techniciantext[.]com
win7update[.]net
xigncodeservice[.]com
agegamepay[.]com
ageofwuxia[.]com
ageofwuxia[.]info
ageofwuxia[.]net
ageofwuxia[.]org

Obs: Os links e endereços de IP elencados acima podem estar ativos; cuidado ao realizar a manipulação dos referidos IoCs, evite realizar o clique e se tornar vítima do conteúdo malicioso hospedado no IoC.

Como se proteger do grupo APT41

Além dos indicadores de comprometimento elencados acima pela ISH, poderão ser adotadas medidas visando a mitigação da infecção do referido a ameaças persistentes avançadas, como:

  • Manter os softwares atualizados: é importante manter o sistema operacional, aplicativos e software de segurança atualizados com os últimos updates de segurança. Isso ajuda a corrigir vulnerabilidades conhecidas que podem ser exploradas por APTs.
  • Usar a autenticação de múltiplos fatores: pode ajudar a proteger contra-ataques de phishing e credenciais roubadas. Ela adiciona uma camada extra de segurança, exigindo que o usuário forneça informações adicionais, além de uma senha, para autenticar-se.
  • Não realizar o download de artefatos contidos em e-mails suspeitos e não clicar em links de e-mails que apresentarem ter comportamento malicioso.
  • Usar criptografia: pode ajudar a proteger informações confidenciais, como dados de clientes e dados corporativos, de serem acessados ​​por APTs.
  • Fazer backup regularmente: cultivar essa prática para com dados críticos pode ajudar a proteger contra perda de dados devido a ataques APT.
  • Implementar controles de segurança de rede: como firewalls, IDS/IPS e detecção de ameaças avançadas, podem ajudar a identificar e bloquear APTs antes que eles possam causar danos.
  • Realizar treinamentos de conscientização sobre segurança: podem ajudar a educar os usuários sobre as ameaças de segurança e como se proteger contra elas.
  • Fazer a análise de comportamento: pode ajudar a detectar atividades suspeitas dentro da rede, como transferência de grandes quantidades de dados para locais desconhecidos ou tentativas de acesso a recursos confidenciais fora do horário de trabalho.
  • Adotar uma postura de segurança por toda a empresa: para ser eficaz contra APTs é importante que as empresas adotem uma abordagem abrangente de segurança em toda a empresa, incluindo políticas e procedimentos, controles de segurança e treinamentos regulares de conscientização sobre segurança.

Referências

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *