Notícias do nosso Centro de Especialistas em Cibersegurança
Trazemos-lhe as últimas notícias e alertas detectados pela cibersecurança.
Conecte-se conosco através deste e-mail: siainfo@sia.es
Participar em:
Destaques da cibersegurança
Vulnerabilidades
Google revela detalhes da vulnerabilidade de execução de código remoto no Windows (CVE-2021-24093)
Os actores da ameaça podem publicar Alexa Skills, deixando os utilizadores vulneráveis a ataques
Malware
Os atacantes procuram servidores VMware vulneráveis após o lançamento da exploit PoC
O Grupo Lazarus tem como alvo a indústria de defesa da Coreia do Sul utilizando o malware ThreatNeedle
Cibersegurança
Violação de segurança detectada expondo mais de 8 milhões de resultados de testes COVID devido à má implementação do sistema
Onda de tentativas de extorsão detectadas organizações alvo usando o Accellion File Transfer Appliance
Últimas ameaças detectadas
APT Gamaredon Group oferece serviços a outras APTs
25/2/2021
Sumário executivo
O grupo APT conhecido como Gamaredon ou Primitive Bear tem continuado as suas actividades desde o seu surgimento em 2013. Algumas novas provas detectadas em campanhas mais recentes indicam que está a oferecer os seus serviços a outros bandos de cibercriminosos.
Dados
Tipo:
TLP:
Metas:
Bens afectados:
Vector de ataque:
Etiquetas:
Malware
White
Roubo de Credenciais
Credenciais
Spear-phishing
APT, Gamaredon, Malware, PrimitiveBear, spear-phishing
Descrição
O Gamaredon APT tem estado activo desde pelo menos 2013, estando associado a actividades pró-russo, embora este grupo vise vítimas em todo o mundo para fins de espionagem.
Apesar de ter sido exposta várias vezes no passado, a Gamaredon continuou as suas operações sem obstáculos, sendo capaz de recolher informações sobre alvos e partilhá-las com outras unidades, provavelmente grupos de ameaça mais avançados.
Gamaredon controla mais de 600 domínios que são utilizados como servidores de Command and Control (C&C), que é uma grande infra-estrutura e tem estado activa durante muito tempo.
Gamaredon tem um cuidado especial em não infectar vítimas específicas nas suas campanhas. Gamaredon tem uma black list de endereços IP cujos dispositivos não serão infectados, com aproximadamente 1.700 endereços de 43 países diferentes.
Devido a toda esta informação, Gamaredon é considerado um APT de segundo nível, prestando serviços a outros actores de ameaça e sem a sofisticação de actores de primeiro nível.
Detalhes técnicos
Este actor utiliza técnicas de pesca submarina contra as suas vítimas. Por exemplo, uma das suas campanhas enviou em anexo um documento Word com o nome "НУЖНА ПОМОЩЬ.doc" que traduzido para "Preciso de ajuda", que está escrito em russo, alegando que um familiar foi preso sob acusação de terrorismo.
Gamaredon utiliza a injecção de modelos em documentos Word como um vector de ataque inicial, por isso, se o utilizador abrir um modelo deste tipo, o ficheiro será carregado a partir do servidor C&C.
Este ficheiro malicioso contém uma macro VisualBasic embutida que descodificará várias cordas base64, gerando um script VisualBasic que é depois executado como a primeira fase do malware.
Em seguida, verifica se a segunda fase está a decorrer e, em caso afirmativo, encerra todos os processos relacionados com a segunda fase.
O primeiro pedido contém pormenores sobre o anfitrião da vítima. Se este primeiro pedido falhar, o malware vai pingar o servidor C&C e fazer um segundo pedido. Finalmente, o guião realizará um sono aleatório entre 95 e 154 segundos antes de contactar novamente o servidor C&C da primeira fase, que responderá com um novo binário da segunda fase ou zero bytes.
Mesmo que a vítima tenha detectado a infecção na segunda fase, muitas informações já foram roubadas durante a fase de reconhecimento.
As campanhas relacionadas com Gamaredon que evitaram infectar certos endereços IP foram detectadas a partir de 2018, mas ainda hoje estão activas porque fazem uso de domínios dinâmicos.
Técnicas usadas
Initial access
Phishing: Spearphishing Attachment T1566.001
Execution
- Command and Scripting Interpreter: Visual Basic T1059.005
- Command and Scripting Interpreter: Windows Command Shell T1059.003
- Inter-Process Communication: Component Object Model T1559.001
- Scheduled Task/Job: Scheduled Task T1053.005
- User Execution: Malicious File T1204.002
Persistence
- Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder T1547.001
- Office Application Startup T1137
- Scheduled Task/Job: Scheduled Task T1053.005
Privilege escalation
- Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder T1547.001
- Scheduled Task/Job: Scheduled Task T1053.005
Defense evation
- Modify Registry T1112
- Obfuscated Files or Information: Binary Padding T1027.001
- Obfuscated Files or Information: Compile After Delivery T1027.004
- Signed Binary Proxy Execution: Rundll32 T1218.011
- Template Injection T1221
- Deobfuscate/Decode Files or Information T1140
- Impair Defenses: Disable or Modify Tools T1562.001
- Indicator Removal on Host: File Deletion T1070.004
Discovery
- File and Directory Discovery T1083
- Peripheral Device Discovery T1120
- System Information Discovery T1082
- System Owner/User Discovery T1033
Lateral movement
- Internal Spearphishing T1534
- Taint Shared Content T1080
Collection
- Automated Collection T1119
- Data from Local System T1005
- Data from Network Shared Drive T1039
- Data from Removable Media T1025
- Screen Capture T1113
Command and control
- Application Layer Protocol: Web Protocols T1071.001
- Ingress Tool Transfer T1105
Recomendações
Detecção
- Analisar os cabeçalhos dos e-mails para determinar a origem e legitimidade dos e-mails
- Analisar e-mails contendo o mesmo assunto e diferentes destinatários
- Analisar e recolher todos os eventos notáveis dos sistemas de detecção (Antivírus, IDS...)
- Verificar as entradas no ficheiro hospedeiro (Windows: C:Windows System32, e Linux: etc/hosts).
- Proceder à remoção de todas as amostras de malware e dos seus pontos de persistência.
Mitigação
- A sensibilização dos trabalhadores é a chave para mitigar este tipo de ameaça
- Efectuar análises forenses em computadores suspeitos para determinar que dados podem ter sido divulgados
- Em caso de revelação de palavra-passe, restaurar as palavras-passe o mais rapidamente possível
- Proceder ao isolamento dos computadores infectados para impedir a propagação de malware através da rede
Protección
- Actualizar o sistema operativo e todas as soluções de segurança, bem como ter a firewall pessoal activada.
- Permitir a exibição de extensões de ficheiros para impedir a execução de código malicioso disfarçado de ficheiros legítimos e não executáveis
- Desactivar macros em documentos do Microsoft Office e outras aplicações semelhantes
- Não confie em nenhum e-mail de um remetente desconhecido
- Não aceder a ligações ou descarregar anexos a partir de e-mails suspeitos.
- Não responda a tais e-mails, nem ligue para os números de telefone que eles possam incluir
- Apagar todos os e-mails suspeitos
- Ter uma correcta segregação na arquitectura da rede
- Ter um inventário actualizado de todos os bens
- Realizar auditorias de segurança contínuas aos sistemas para detectar vulnerabilidades
- Alterar o programa padrão para ficheiros com extensão .js, .vbs, .vbe, .hta, .wsf, .wsc.... para evitar a sua execução directamente ao fazer duplo clique
A SIA, uma empresa do Grupo Indra, é a empresa especializada em ciber-segurança do Grupo Indra. Oferece soluções tecnologicamente avançadas e serviços inovadores, levando o conceito de ciber-segurança um passo à frente.
A Indra é uma das principais empresas mundiais de tecnologia e consultoria: o parceiro tecnológico para as operações essenciais dos negócios de clientes em todo o mundo.