This post is also available in: Português Español
Estudo divulgado pela Symantec, detalha ferramentas e técnicas, utilizadas em uma campanha maliciosa, que até então eram desconhecidas. Um dropper (tipo de trojan que baixa um malware incorporado no computador da vítima) chamado Trojan.Geppei está sendo usado por um grupo de cibercriminosos apelidado de Cranefly, para instalar um outro malware não documentado, conhecido como Danfuan.
O Geppei utiliza uma técnica de leitura de comandos de logs do Internet Informations Services (IIS), algo que os pesquisadores alegam nunca terem visto sendo usado em ataques no mundo real.
O Cranefly se destaca dos grupos de ataques típicos, pois tem um tempo de permanência particularmente longo, passando pelo menos 18 meses na rede da vítima enquanto permanece fora do radar.
Os criminosos instalam backdoors em dispositivos que não oferecem suporte a ferramentas de segurança, como matrizes SANS, balanceadores de carga e controladores de ponto de acesso sem fio.
O Trojan Geppei usa o PyInstaller para converter um script Python em um arquivo executável e lê comandos de logs legítimos do IIS. Os logs do IIS registram dados do IIS, como páginas da Web e aplicativos, e os invasores são capazes de enviar comandos para um servidor da Web comprometido, disfarçando-os conforme o acesso à Web exige. O IIS os registra normalmente, mas o Geppei pode lê-los como comandos.
Os comandos do Geppei possuem arquivos maliciosos .ashx codificados. Os arquivos são salvos em uma pasta e executados como backdoors, com algumas strings não aparecendo nos arquivos de log do IIS. Os mesmos arquivos são usados para análise de solicitação HTTP maliciosa pelo Geppei.
Os backdoors lançados pelo Geppei incluem o Hacktool.Regeorg, uma forma conhecida de malware que pode criar um proxy SOCK. O Danfuan é um DynamicCodeCompiler que compila e executa código C#, é baseado na tecnologia de compilação dinâmica .NET e compila dinamicamente o código na memória, fornecendo um backdoor para os sistemas infectados.
Não se sabe quem está por trás do Cranefly e Danfuan. Vários grupos avançados de ameaças persistentes utilizam o Hacktool.Regeorg e o código está disponível publicamente no GitHub. A única pista é o link para o mesmo grupo detalhado pela Mandiant no início do ano, porém, a própria Mandiant diz que o vínculo não pode ser feito com certeza.
O relatório da Symantec conclui dizendo que o uso de uma nova técnica e ferramentas personalizadas, bem como as etapas utilizadas para ocultar rastros nas máquinas das vítimas, indicam que o Cranefly é um grupo muito qualificado.
Apesar de não terem visto dados sendo exfiltrados das máquinas das vítimas, os pesquisadores dizem que as ferramentas implantadas e os esforços realizados para ocultar essa atividade, juntamente com a atividade previamente documentada pela Mandiant, indicam que a motivação mais provável para esse grupo é a coleta de inteligência.
Mitigação
Apesar de a campanha não ser difundida, não significa que não apresente um perigo para as organizações, principalmente porque a campanha continua ativa e os cibercriminosos estão adotando novas técnicas para ocultar ataques.
Porém, para evitar esse e outros ataques cibernéticos, há algumas ações que as empresas podem tomar. Segundo Brigid O Gorman, analista sênior de inteligência da Symantec Threat Hunter Team, as organizações devem adotar uma estratégia de defesa em profundidade, usando múltiplas tecnologias de detecção proteção para mitigar o risco em cada ponto de uma potencial cadeia de ataque.
Além disso, realizar treinamento dos funcionários para os conscientizar é fundamental, pois o fator humano ainda é um grande problema quando falamos de segurança cibernética.
This post is also available in: Português Español
