Principais grupos de ameaça que visam o Brasil: conheça o Red Apollo

Por Ismael Rocha: Uma ameaça persistente avançada (APT) trabalha para acessar redes e sistemas de computadores sem ser detectada ou notada. Essas ameaças, às vezes executadas por um estado-nação ou por um grupo patrocinado por um estado, podem roubar informações privadas e secretas, danificar sistemas de TI e interromper o funcionamento de sistemas vitais. Defender-se contra ameaças persistentes avançadas é uma tarefa difícil, pois elas agem furtivamente e suas invasões podem ser difíceis de reconhecer.

O Brasil é um país com uma grande variedade de setores econômicos, tais como: educação/pesquisa, financeiro, saúde, governamental/militar, varejo, energia, comunicação, tecnologia, entre outros. Estes setores movimentam grandes quantias para governos e organizações, consequentemente despertando o interesse de grupos de ameaças avançadas. Assim, é possível notar o grande aumento dos ataques cibernéticos para obtenção de ganhos financeiros, acesso a arquivos secretos e confidenciais ou desestruturação do país por parte dos cibercriminosos.

Sobre o Red Apollo (APT10)

O APT10 (Red Apollo) é um grupo de ameaças cibernéticas que é amplamente acreditado como uma operação patrocinada pelo estado chinês. Eles são conhecidos por terem como alvo organizações ao redor do mundo em várias indústrias, incluindo tecnologia da informação, comunicações, engenharia, aeroespacial e outras.

O objetivo principal do APT10 é roubar propriedade intelectual, informações confidenciais e dados de organizações em todo o mundo para benefício econômico. Eles geralmente realizam suas operações por meio de phishing, malware personalizado e outras técnicas avançadas de engenharia social para obter acesso a redes corporativas e exfiltrar dados.

O grupo também é conhecido por suas operações de longo prazo e pela capacidade de permanecer oculto nas redes das vítimas por meses ou mesmo anos, permitindo que eles obtenham uma quantidade significativa de dados confidenciais. O APT10 Red Apollo é considerado um dos grupos de ameaças cibernéticas mais avançado e persistente atualmente ativo.

TTPs – MITRE ATT&CK

TáticaTécnicaDetalhes
DiscoveryT1046Os atacantes tentam obter uma lista de serviços executados em hosts remotos e dispositivos de infraestrutura de rede local, incluindo aqueles que podem ser vulneráveis ​​à exploração de software remoto.
Initial AccessT1566Envio de documentos maliciosos do Office por e-mail como parte de campanhas de spearphishing, bem como executáveis ​​disfarçados de documentos.
ExecutionT1204Tenta fazer com que as vitimas abram arquivos maliciosos, como atalhos do Windows (.lnk) e/ou documentos do Microsoft Office, enviados por e-mail.
ExecutionT1059Uso do PowerSploit para injetar shellcode no PowerShell.
Lateral MovementT1021Uso de conexões RDP para se mover pela rede da vítima.
Defense EvasionT1027Codificação de strings em seu malware com base64, bem como com uma ofuscação XOR simples de byte único usando a chave 0x40.
Defense EvasionT1036Uso do esentutl para alterar as extensões de arquivo para seu tipo verdadeiro que estavam mascarados como arquivos .txt.
Initial AccessT1078Uso de contas válidas, inclusive compartilhadas entre provedores de serviços gerenciados e clientes, para se mover entre os dois ambientes.

Indicadores de Comprometimento (IoCs)

A ISH Tecnologia realiza o tratamento de diversos indicadores de compromissos coletados por meio de fontes abertas, fechadas e também de análises realizadas pela equipe de segurança Heimdall. Diante disto, abaixo listamos todos os Indicadores de Compromissos (IOCs) relacionadas a análise do(s) artefato(s) deste relatório.

Indicadores de compromisso de artefato malicioso/ analisado
md5:577a47811b3c57a663bcbf2aab99c9e3
sha1:dbc48357bfbe41f5bfdd3045066486e76a23ad2d
sha256:70225015489cae369d311b62724ef0caf658ffdf62e5edbafd8267a8842e7696
File name:70225015489cae369d311b62724ef0caf658ffdf62e5edbafd8267a8842e7696.bin
Indicadores de compromisso de artefato malicioso/ analisado
md5:69ef2d7f9ed29840b60a7fd32030cbd1
sha1:b24e254f6fdd67318547915495f56f8f2a0ac4fe
sha256:91f8805e64f434099d0137d0b7ebf3db3ccbf5d76cd071d1604e3e12a348f2d9
File name:mpclient.dll
Indicadores de compromisso de artefato malicioso/ analisado
md5:f259765905cd16ff40132f35c85a862a
sha1:d9efd4c4e1fb4e3d4a171c4ca0985839ad1cdee9
sha256:7fe5674c9a3af8413d0ec71072a1c27d39edc14e4d110bfeb79d1148d55ce0b6
File name:7fe5674c9a3af8413d0ec71072a1c27d39edc14e4d110bfeb79d1148d55ce0b6.bin
Indicadores de compromisso de artefato malicioso/ analisado
md5:bde2a3c8e034d30ce13e684f324c6702
sha1:a413f4bcb7406710b76fabdaba95bb4690b24406
sha256:f04f444d9f17d4534d37d3369bf0b20415186862986e62a25f59fd0c2c87562f
File name:mpclient.dll
Indicadores de compromisso de artefato malicioso/ analisado
md5:0c4a84b66832a08dccc42b478d9d5e1b
sha1:160320b920a5ef22ac17b48146152ffbef60461f
sha256:5b56c5d86347e164c6e571c86dbf5b1535eae6b979fede6ed66b01e79ea33b7b
File name:5b56c5d86347e164c6e571c86dbf5b1535eae6b979fede6ed66b01e79ea33b7b.exe
Indicadores de compromisso de artefato malicioso/ analisado
md5:4c3c7053ec145ad3976b2a84038c5feb
sha1:3246867705e8aad60491fe195bcc83af79470b22
sha256:15b52c468cfd4dee4599ec22b1c04b977416fbe5220ab30a097f403903d28a3a
File name:vmtools.ini
Indicadores de compromisso de artefato malicioso/ analisado
md5:a4a6abf4ed4c9447683fba729a17197b
sha1:ead02cb3f6b811427f2635a18398392bc2ebca3a
sha256:b0fb6c7eecbf711b2c503d7f8f3cf949404e2dd256b621c8cf1f3a2bdfb54301
File name:glib-2.0.dll
Indicadores de compromisso de artefato malicioso/ analisado
md5:809fcab1225981e87060033d72edaeaf
sha1:64f5044709efc77230484cec8a0d784947056022
sha256:62fea3942e884855283faf3fb68f41be747c5baa922d140509237c2d7bacdd17
File name:62fea3942e884855283faf3fb68f41be747c5baa922d140509237c2d7bacdd17.bin
Indicadores de compromisso de artefato malicioso/ analisado
md5:b16bb2f910f21e2d4f6e2aa1a1ea0d8b
sha1:a75e9b702a892cc3e531e158ab2e4206b939f379
sha256:8502852561fcb867d9cbf45ac24c5985fa195432b542dbf8753d5f3d7175b120
File name:LockDown.dll
Indicadores de compromisso de artefato malicioso/ analisado
md5:78c309be8437e7c1d2dd3f12d7c034c8
sha1:8c4f32b532dcbec914228baf16cf6b21fb12e2fc
sha256:c10d7ea92fa96c79cfc3dd6957cad346ae3efd611eb4cca6e368c5c0fcad87be
File name:sample.doc
Indicadores de compromisso de artefato malicioso/ analisado
md5:77c02893cf4a86ad2fd629aea4db772f
sha1:851234d83f283c87b9195178b8e6af6e7836fb1a
sha256:00d33ab9a73211ba9ed30d0afbe8cc2a1a2a4a60c90fe7f13fa2250d92a7ad85
File name:tw.rtf
Indicadores de compromisso de artefato malicioso/ analisado
md5:db212129be94fe77362751c557d0e893
sha1:7fe6c8191749767254513b03da03cfbf6dd6c139
sha256:fadf362a52dcf884f0d41ce3df9eaa9bb30227afda50c0e0657c096baff501f0
File name:db212129be94fe77362751c557d0e893.vir
Indicadores de compromisso de artefato malicioso/ analisado
md5:faf9576ce2af23aac67d3087eb85a92b
sha1:daadf23bf09519e77a8d9259164e893bddd6e621
sha256:db28df72ac3a076cc80eae301c4a1bcb1feab27331f33c928a99879f8290bcb3
File name:Adobechoose.exe
Indicadores de compromisso de artefato malicioso/ analisado
md5:e6c596cfa163fe9b8883c7618d594018
sha1:4bc116cfb79ed3f116b8c1da4d82a435adf7c534
sha256:c5e9df74abe15f2751681117fd7efbce03f93157a3ccc314d51da9060dab3790
File name:scvhost
Indicadores de compromisso de artefato malicioso/ analisado
md5:172ce304ce8946ae7be8d223d4520d80
sha1:c90b19dd970360ad8a0bc74ee6ecf3a002714698
sha256:d97e64eef62f109d19cb00651224fdfcfb2a14317c420096230627680be0bd78
File name:Invitation.doc
Indicadores de compromisso de artefato malicioso/ analisado
md5:b08694e14a9b966d8033b42b58ab727d
sha1:6716078e371d4bce479e35146c25a753b2b02202
sha256:af69ad95e6564d682b0f8220dd8c4cca61b60227add59c883eea960350747084
File name:PiShellPut
Indicadores de compromisso de artefato malicioso/ analisado
md5:05ac9875df6a4e1b7b7a21099d27caaf
sha1:6a1ce9b2c7d8b1309941d8ce06278d3ab6eb6a2a
sha256:68bad787576e8766b6d1747c25829c784ddc9a9783872a50e6b5ee10fe17d6c3
File name:vt-upload-Db6R6
Indicadores de compromisso de artefato malicioso/ analisado
md5:bd092cc922a8f83880b896a0911774a6
sha1:06c9661095a9063c8028c493874f178b15aa73f4
sha256:02b3114e249b11d6f051450356704ddf7871aecbdbab5657fc0ccd17ce13e514
File name:Live360.exe
Indicadores de compromisso de artefato malicioso/ analisado
md5:056725205f97051a381ebe7894ba0671
sha1:5fd8e622f205a2ffb408399eb3848a33058fdfc6
sha256:b88fe756176e2ee448bdc1f19c5c5675ecf465034a77e106679970b787942511
File name:kugou.dll
Indicadores de compromisso de artefato malicioso/ analisado
md5:156ce6a9d3eaac1584b8df714a35c530
sha1:75800a58d1c42ecba6415c3b5b3a07e65019b456
sha256:98aefbea97d086f0bbe082b6bb7499f4ee1fbf707766f3b2739ed99857802ad8
File name:1.xls
Indicadores de compromisso de artefato malicioso/ analisado
md5:667989ffa5e77943f3384e78adf93510
sha1:aee17dbab01ed334bb94506fcbc2ed259242159e
sha256:7eeaa97d346bc3f8090e5b742f42e8900127703420295279ac7e04d06ebe0a04
File name:667989ffa5e77943f3384e78adf93510.virobj

URLs de distribuição e endereços IP C2:

114.55[.]109[.]199
185.225[.]17[.]39
43.254[.]216[.]104
45.124[.]115[.]103
161.82[.]181[.]4
43.254[.]219[.]153
45.124[.]115[.]103
185.225[.]19[.]17
94.158[.]245[.]249
5.252[.]179[.]227
222.186[.]151[.]141
47.111[.]22[.]65
154.223[.]141[.]36
103.139[.]2[.]93
apple[.]ikwb[.]com
support1[.]mrface[.]com
unspa[.]hostport9[.]net
aotuo[.]9966[.]org
dedydns[.]ns01[.]us
services[.]arkouowi[.]com
creatos[.]kozow[.]com
quick[.]oldbmwy[.]com
jepsen[.]r3u8[.]com
sakai[.]unhamj[.]com
nttdata[.]otzo[.]com
forward[.]davidgagnon[.]org
cvnx[.]zyns[.]com
zebra[.]wthelpdesk[.]com
algorithm[.]ddnsgeek[.]com
music[.]websegoo[.]net
hk[.]have8000[.]com
fbi[.]sexxxy[.]biz
friendlysupport[.]giize[.]com
idpmus[.]hostport9[.]net
lion[.]wchildress[.]com
vm[.]vmdnsup[.]org
scorpion[.]poulsenv[.]com
web[.]casacam[.]net
synssl[.]dnset[.]com
smo[.]gadskysun[.]com
abcd120719[.]6600[.]org
firtstdata[.]kozow[.]com
nunluck[.]re26[.]com
send[.]mofa[.]ns01[.]info
bulk[.]tmpxctl[.]com
yz[.]chromeenter[.]com
kawasaki[.]cloud-maste[.]com
un[.]dnsrd[.]com
record[.]wschandler[.]com
tv [.]goldtoyota[.]com
cpu[.]4pu[.]com
av[.]ddns[.]us
send[.]have8000[.]com
contacts[.]rvenee[.]com
trems[.]rvenee[.]com
video[.]vmdnsup[.]org
www[.]jadl-or[.]com
art[.]p6p6[.]net
vmyiersend[.]websago[.]info
trasul[.]mypicture[.]info
1j[.]www1[.]biz
google[.]usrobothome[.]com
bak[.]have8000[.]com
google[.]macforlinux[.]net
herring[.]kozow[.]com
be[.]yourtrap[.]com
grandeur[.]kozow[.]com
wike[.]wikaba[.]com
bk56[.]twilightparadox[.]com
kmd[.]crabdance[.]com
img[.]microtoo[.]info
inspgon[.]re26[.]com
iphone[.]vizvaz[.]com
babyprintf[.]2288[.]org
cia[.]toh[.]info
last[.]p6p6[.]net
jimin[.]jimindaddy[.]com
stone[.]jumpingcrab[.]com
sky[.]oldbmwy[.]com
army[.]xxuz[.]com
sh[.]chromeenter[.]com
mailj[.]hostport9[.]net
domain[.]casacam[.]net
applelib120102[.]9966[.]org
szdns[.]etfiber[.]net
2014[.]zzux[.]com
voov[.]2288[.]org
document[.]methoder[.]com
sbuudd[.]webssl9[.]info
baby[.]macforlinux[.]net
ducksow[.]ddnsgeek[.]com
jpn[.]longmusic[.]com
malware[.]dsmtp[.]com
zone[.]usrobothome[.]com
area[.]wthelpdesk[.]com
resource[.]arkouowi[.]com
sendmsg[.]jumpingcrab[.]com
japan[.]fuckanti[.]com
hk[.]cmdnetview[.]com
record[.]hostport9[.]net
cao[.]p6p6[.]net
im[.]suibian2010[.]info
taipei[.]yourtrap[.]com
sstday[.]jkub[.]com
diamond[.]ninth[.]biz
start[.]usrobothome[.]com
amsidgoo[.]thedomais[.]info
janpan[.]bigmoney[.]biz
info[.]uroljp[.]com
iu[.]niushenghuo[.]info
usa[.]radiorig[.]com
fukuoka[.]cloud-maste[.]com
sz[.]thedomais[.]info
whellbuy[.]wschandler[.]com
app[.]lehigtapp[.]com
firefoxcomt[.]arkouowi[.]com
kawasaki[.]unhamj[.]com
drives[.]methoder[.]com
apple[.]cmdnetview[.]com
messagea[.]emailfound[.]info
gold[.]polopurple[.]com
sdmsg[.]onmypc[.]org
fiveavmersi[.]websegoo[.]net
dick[.]ccfchrist[.]com
byeserver[.]com
dnsgogle[.]com
gamewushu[.]com
gxxservice[.]com
ibmupdate[.]com
infestexe[.]com
kasparsky[.]net
linux-update[.]net
macfee[.]ga
micros0ff[.]com
micros0tf[.]com
notped[.]com
operatingbox[.]com
paniesx[.]com
serverbye[.]com
sexyjapan.ddns[.]info
symanteclabs[.]com
techniciantext[.]com
win7update[.]net
xigncodeservice[.]com
agegamepay[.]com
ageofwuxia[.]com
ageofwuxia[.]info
ageofwuxia[.]net
ageofwuxia[.]org

Obs: Os links e endereços de IP elencados acima podem estar ativos; cuidado ao realizar a manipulação dos referidos IoCs, evite realizar o clique e se tornar vítima do conteúdo malicioso hospedado no IoC.

Por que ter uma equipe de Threat Hunting?

O maior perigo de uma APT é que ela pode permanecer ativa por longos períodos, geralmente passando despercebida pelas defesas de segurança cibernética, permitindo que os invasores exfiltrem informações valiosas e causem danos significativos. Uma das principais características de uma APT é sua capacidade de evitar a detecção pelas soluções de segurança tradicionais, como firewalls e antivírus. Os grupos de ameaças avançadas muitas vezes utilizam técnicas sofisticadas de engenharia social, phishing e engenharia reversa para se infiltrarem em redes corporativas e instituições governamentais, causando grandes prejuízos financeiros.

As soluções de segurança tradicionais, como firewalls e antivírus, são eficazes na detecção de ameaças conhecidas, mas podem falhar em detectar novas ameaças que são projetadas especificamente para evitá-las. A equipe de Threat Hunting busca proativamente por ameaças em toda a infraestrutura de TI da organização, usando técnicas avançadas de análise de ameaças e investigação forense para encontrar atividades suspeitas ou anomalias que possam indicar a presença de uma ameaça. Isso permite que a equipe tome medidas imediatas para interromper ou neutralizar uma ameaça antes que ela cause danos significativos à organização.

Em resumo, um time de Threat Hunting (caça a ameaças) é importante porque fornece uma camada adicional de proteção proativa contra ameaças cibernéticas, permitindo que as organizações possam identificar e responder a ameaças cibernéticas avançadas de forma mais rápida e eficaz.

Como se proteger do grupo Red Apollo

Além dos indicadores de comprometimento elencados abaixo pela ISH, poderão ser adotadas medidas visando a mitigação da infecção do referido a ameaças persistentes avançadas, como:

  • Manter os softwares atualizados: é importante manter o sistema operacional, aplicativos e software de segurança atualizados com os últimos updates de segurança. Isso ajuda a corrigir vulnerabilidades conhecidas que podem ser exploradas por APTs.
  • Usar a autenticação de múltiplos fatores: pode ajudar a proteger contra-ataques de phishing e credenciais roubadas. Ela adiciona uma camada extra de segurança, exigindo que o usuário forneça informações adicionais, além de uma senha, para autenticar-se.
  • Não realizar o download de artefatos contidos em e-mails suspeitos e não clicar em links de e-mails que apresentarem ter comportamento malicioso.
  • Usar criptografia: pode ajudar a proteger informações confidenciais, como dados de clientes e dados corporativos, de serem acessados ​​por APTs.
  • Fazer backup regularmente: cultivar essa prática para com dados críticos pode ajudar a proteger contra perda de dados devido a ataques APT.
  • Implementar controles de segurança de rede: como firewalls, IDS/IPS e detecção de ameaças avançadas, podem ajudar a identificar e bloquear APTs antes que eles possam causar danos.
  • Realizar treinamentos de conscientização sobre segurança: podem ajudar a educar os usuários sobre as ameaças de segurança e como se proteger contra elas.
  • Fazer a análise de comportamento: pode ajudar a detectar atividades suspeitas dentro da rede, como transferência de grandes quantidades de dados para locais desconhecidos ou tentativas de acesso a recursos confidenciais fora do horário de trabalho.
  • Adotar uma postura de segurança por toda a empresa: para ser eficaz contra APTs é importante que as empresas adotem uma abordagem abrangente de segurança em toda a empresa, incluindo políticas e procedimentos, controles de segurança e treinamentos regulares de conscientização sobre segurança.

Referências