Usamos cookies próprios e de terceiros que, entre outras coisas, coletam dados sobre seus hábitos de navegação para mostrar publicidade personalizada e realizar análises de uso de nosso site.
Se você continuar a navegar, considere aceitar seu uso. De acordo Mais informação

Notícias do nosso Centro de Especialistas em Cibersegurança

 

 

Trazemos-lhe as últimas notícias e alertas detectados pela cibersecurança.

Conecte-se conosco através deste e-mail:  siainfo@sia.es

  •  

      Participar em:

Destaques da cibersegurança

Vulnerabilidades

Google revela detalhes da vulnerabilidade de execução de código remoto no Windows (CVE-2021-24093)

 

securityweek.com

 

Os actores da ameaça podem publicar Alexa Skills, deixando os utilizadores vulneráveis a ataques

 

  informationsecuritybuzz.com

Malware

Os atacantes procuram servidores VMware vulneráveis após o lançamento da exploit PoC

 

  bleepingcomputer.com

 

O Grupo Lazarus tem como alvo a indústria de defesa da Coreia do Sul utilizando o malware ThreatNeedle

 

  bleepingcomputer.com

 

Cibersegurança

Violação de segurança detectada expondo mais de 8 milhões de resultados de testes COVID devido à má implementação do sistema

 

  bleepingcomputer.com

 

Onda de tentativas de extorsão detectadas organizações alvo usando o Accellion File Transfer Appliance

 

  bleepingcomputer.com

Últimas ameaças detectadas

APT Gamaredon Group oferece serviços a outras APTs

25/2/2021

Sumário executivo

 

O grupo APT conhecido como Gamaredon ou Primitive Bear tem continuado as suas actividades desde o seu surgimento em 2013. Algumas novas provas detectadas em campanhas mais recentes indicam que está a oferecer os seus serviços a outros bandos de cibercriminosos.

Dados

 

Tipo:

 

TLP:

 

Metas:

 

Bens afectados:

 

Vector de ataque:

 

Etiquetas:

 

Malware

 

White

 

Roubo de Credenciais

 

Credenciais

 

Spear-phishing

 

APT, Gamaredon, Malware, PrimitiveBear, spear-phishing

Descrição

 

O Gamaredon APT tem estado activo desde pelo menos 2013, estando associado a actividades pró-russo, embora este grupo vise vítimas em todo o mundo para fins de espionagem.

 

Apesar de ter sido exposta várias vezes no passado, a Gamaredon continuou as suas operações sem obstáculos, sendo capaz de recolher informações sobre alvos e partilhá-las com outras unidades, provavelmente grupos de ameaça mais avançados.

 

Gamaredon controla mais de 600 domínios que são utilizados como servidores de Command and Control (C&C), que é uma grande infra-estrutura e tem estado activa durante muito tempo.

 

Gamaredon tem um cuidado especial em não infectar vítimas específicas nas suas campanhas. Gamaredon tem uma black list de endereços IP cujos dispositivos não serão infectados, com aproximadamente 1.700 endereços de 43 países diferentes.

 

Devido a toda esta informação, Gamaredon é considerado um APT de segundo nível, prestando serviços a outros actores de ameaça e sem a sofisticação de actores de primeiro nível.

 

Detalhes técnicos

 

Este actor utiliza técnicas de pesca submarina contra as suas vítimas. Por exemplo, uma das suas campanhas enviou em anexo um documento Word com o nome "НУЖНА ПОМОЩЬ.doc" que traduzido para "Preciso de ajuda", que está escrito em russo, alegando que um familiar foi preso sob acusação de terrorismo.

 

Gamaredon utiliza a injecção de modelos em documentos Word como um vector de ataque inicial, por isso, se o utilizador abrir um modelo deste tipo, o ficheiro será carregado a partir do servidor C&C.

 

Este ficheiro malicioso contém uma macro VisualBasic embutida que descodificará várias cordas base64, gerando um script VisualBasic que é depois executado como a primeira fase do malware.

 

Em seguida, verifica se a segunda fase está a decorrer e, em caso afirmativo, encerra todos os processos relacionados com a segunda fase.

 

O primeiro pedido contém pormenores sobre o anfitrião da vítima. Se este primeiro pedido falhar, o malware vai pingar o servidor C&C e fazer um segundo pedido. Finalmente, o guião realizará um sono aleatório entre 95 e 154 segundos antes de contactar novamente o servidor C&C da primeira fase, que responderá com um novo binário da segunda fase ou zero bytes.

 

Mesmo que a vítima tenha detectado a infecção na segunda fase, muitas informações já foram roubadas durante a fase de reconhecimento.

 

As campanhas relacionadas com Gamaredon que evitaram infectar certos endereços IP foram detectadas a partir de 2018, mas ainda hoje estão activas porque fazem uso de domínios dinâmicos.

 

Técnicas usadas

 

Initial access

 

Phishing: Spearphishing Attachment T1566.001

 

Execution

 

  • Command and Scripting Interpreter: Visual Basic T1059.005
  • Command and Scripting Interpreter: Windows Command Shell T1059.003
  • Inter-Process Communication: Component Object Model T1559.001
  • Scheduled Task/Job: Scheduled Task T1053.005
  • User Execution: Malicious File T1204.002

 

Persistence

 

  • Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder T1547.001
  • Office Application Startup T1137
  • Scheduled Task/Job: Scheduled Task T1053.005

 

Privilege escalation

 

  • Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder T1547.001
  • Scheduled Task/Job: Scheduled Task T1053.005

 

Defense evation

 

  • Modify Registry T1112
  • Obfuscated Files or Information: Binary Padding T1027.001
  • Obfuscated Files or Information: Compile After Delivery T1027.004
  • Signed Binary Proxy Execution: Rundll32 T1218.011
  • Template Injection T1221
  • Deobfuscate/Decode Files or Information T1140
  • Impair Defenses: Disable or Modify Tools T1562.001
  • Indicator Removal on Host: File Deletion T1070.004

 

Discovery

 

  • File and Directory Discovery T1083
  • Peripheral Device Discovery T1120
  • System Information Discovery T1082
  • System Owner/User Discovery T1033

 

Lateral movement

 

  • Internal Spearphishing T1534
  • Taint Shared Content T1080

 

Collection

 

  • Automated Collection T1119
  • Data from Local System T1005
  • Data from Network Shared Drive T1039
  • Data from Removable Media T1025
  • Screen Capture T1113

 

Command and control

 

  • Application Layer Protocol: Web Protocols T1071.001
  • Ingress Tool Transfer T1105

 

 

Recomendações

Detecção

 

  • Analisar os cabeçalhos dos e-mails para determinar a origem e legitimidade dos e-mails
  • Analisar e-mails contendo o mesmo assunto e diferentes destinatários
  • Analisar e recolher todos os eventos notáveis dos sistemas de detecção (Antivírus, IDS...)
  • Verificar as entradas no ficheiro hospedeiro (Windows: C:Windows System32, e Linux: etc/hosts).
  • Proceder à remoção de todas as amostras de malware e dos seus pontos de persistência.

 

Mitigação

 

  • A sensibilização dos trabalhadores é a chave para mitigar este tipo de ameaça
  • Efectuar análises forenses em computadores suspeitos para determinar que dados podem ter sido divulgados
  • Em caso de revelação de palavra-passe, restaurar as palavras-passe o mais rapidamente possível
  • Proceder ao isolamento dos computadores infectados para impedir a propagação de malware através da rede

 

Protección

 

  • Actualizar o sistema operativo e todas as soluções de segurança, bem como ter a firewall pessoal activada.
  • Permitir a exibição de extensões de ficheiros para impedir a execução de código malicioso disfarçado de ficheiros legítimos e não executáveis
  • Desactivar macros em documentos do Microsoft Office e outras aplicações semelhantes
  • Não confie em nenhum e-mail de um remetente desconhecido
  • Não aceder a ligações ou descarregar anexos a partir de e-mails suspeitos.
  • Não responda a tais e-mails, nem ligue para os números de telefone que eles possam incluir
  • Apagar todos os e-mails suspeitos
  • Ter uma correcta segregação na arquitectura da rede
  • Ter um inventário actualizado de todos os bens
  • Realizar auditorias de segurança contínuas aos sistemas para detectar vulnerabilidades
  • Alterar o programa padrão para ficheiros com extensão .js, .vbs, .vbe, .hta, .wsf, .wsc.... para evitar a sua execução directamente ao fazer duplo clique

A SIA, uma empresa do Grupo Indra, é a empresa especializada em ciber-segurança do Grupo Indra. Oferece soluções tecnologicamente avançadas e serviços inovadores, levando o conceito de ciber-segurança um passo à frente.

 

sia.es

A Indra é uma das principais empresas mundiais de tecnologia e consultoria: o parceiro tecnológico para as operações essenciais dos negócios de clientes em todo o mundo.

 

indracompany.com

A SIA, uma empresa do Grupo Indra, é a empresa especializada em ciber-segurança do Grupo Indra. Oferece soluções tecnologicamente avançadas e serviços inovadores, levando o conceito de ciber-segurança um passo à frente.

 

sia.es

A Indra é uma das principais empresas mundiais de tecnologia e consultoria: o parceiro tecnológico para as operações essenciais dos negócios de clientes em todo o mundo.

 

indracompany.com