Notícias do nosso Centro de Especialistas em Cibersegurança
Trazemos-lhe as últimas notícias e alertas detectados pela cibersecurança.
Conecte-se conosco através deste e-mail: siainfo@sia.es
Destaques da cibersegurança
Vulnerabilidades
Google revela detalhes da vulnerabilidade de execução de código remoto no Windows (CVE-2021-24093)
Os actores da ameaça podem publicar Alexa Skills, deixando os utilizadores vulneráveis a ataques
Malware
Os atacantes procuram servidores VMware vulneráveis após o lançamento da exploit PoC
O Grupo Lazarus tem como alvo a indústria de defesa da Coreia do Sul utilizando o malware ThreatNeedle
Cibersegurança
Violação de segurança detectada expondo mais de 8 milhões de resultados de testes COVID devido à má implementação do sistema
Onda de tentativas de extorsão detectadas organizações alvo usando o Accellion File Transfer Appliance
Últimas ameaças detectadas
APT Gamaredon Group oferece serviços a outras APTs
25/2/2021
Sumário executivo
O grupo APT conhecido como Gamaredon ou Primitive Bear tem continuado as suas actividades desde o seu surgimento em 2013. Algumas novas provas detectadas em campanhas mais recentes indicam que está a oferecer os seus serviços a outros bandos de cibercriminosos.
Dados
Tipo:
TLP:
Metas:
Bens afectados:
Vector de ataque:
Etiquetas:
Malware
White
Roubo de Credenciais
Credenciais
Spear-phishing
APT, Gamaredon, Malware, PrimitiveBear, spear-phishing
Descrição
O Gamaredon APT tem estado activo desde pelo menos 2013, estando associado a actividades pró-russo, embora este grupo vise vítimas em todo o mundo para fins de espionagem.
Apesar de ter sido exposta várias vezes no passado, a Gamaredon continuou as suas operações sem obstáculos, sendo capaz de recolher informações sobre alvos e partilhá-las com outras unidades, provavelmente grupos de ameaça mais avançados.
Gamaredon controla mais de 600 domínios que são utilizados como servidores de Command and Control (C&C), que é uma grande infra-estrutura e tem estado activa durante muito tempo.
Gamaredon tem um cuidado especial em não infectar vítimas específicas nas suas campanhas. Gamaredon tem uma black list de endereços IP cujos dispositivos não serão infectados, com aproximadamente 1.700 endereços de 43 países diferentes.
Devido a toda esta informação, Gamaredon é considerado um APT de segundo nível, prestando serviços a outros actores de ameaça e sem a sofisticação de actores de primeiro nível.
Detalhes técnicos
Este actor utiliza técnicas de pesca submarina contra as suas vítimas. Por exemplo, uma das suas campanhas enviou em anexo um documento Word com o nome "НУЖНА ПОМОЩЬ.doc" que traduzido para "Preciso de ajuda", que está escrito em russo, alegando que um familiar foi preso sob acusação de terrorismo.
Gamaredon utiliza a injecção de modelos em documentos Word como um vector de ataque inicial, por isso, se o utilizador abrir um modelo deste tipo, o ficheiro será carregado a partir do servidor C&C.
Este ficheiro malicioso contém uma macro VisualBasic embutida que descodificará várias cordas base64, gerando um script VisualBasic que é depois executado como a primeira fase do malware.
Em seguida, verifica se a segunda fase está a decorrer e, em caso afirmativo, encerra todos os processos relacionados com a segunda fase.
O primeiro pedido contém pormenores sobre o anfitrião da vítima. Se este primeiro pedido falhar, o malware vai pingar o servidor C&C e fazer um segundo pedido. Finalmente, o guião realizará um sono aleatório entre 95 e 154 segundos antes de contactar novamente o servidor C&C da primeira fase, que responderá com um novo binário da segunda fase ou zero bytes.
Mesmo que a vítima tenha detectado a infecção na segunda fase, muitas informações já foram roubadas durante a fase de reconhecimento.
As campanhas relacionadas com Gamaredon que evitaram infectar certos endereços IP foram detectadas a partir de 2018, mas ainda hoje estão activas porque fazem uso de domínios dinâmicos.
Técnicas usadas
Initial access
Phishing: Spearphishing Attachment T1566.001
Execution
Persistence
Privilege escalation
Defense evation
Discovery
Lateral movement
Collection
Command and control
Recomendações
Detecção
Mitigação
Protección
A SIA, uma empresa do Grupo Indra, é a empresa especializada em ciber-segurança do Grupo Indra. Oferece soluções tecnologicamente avançadas e serviços inovadores, levando o conceito de ciber-segurança um passo à frente.
A Indra é uma das principais empresas mundiais de tecnologia e consultoria: o parceiro tecnológico para as operações essenciais dos negócios de clientes em todo o mundo.
Tel.: +34 91 307 79 97
A SIA, uma empresa do Grupo Indra, é a empresa especializada em ciber-segurança do Grupo Indra. Oferece soluções tecnologicamente avançadas e serviços inovadores, levando o conceito de ciber-segurança um passo à frente.
A Indra é uma das principais empresas mundiais de tecnologia e consultoria: o parceiro tecnológico para as operações essenciais dos negócios de clientes em todo o mundo.