Trend Micro desvenda o grupo de espionagem cibernética Patchwork

0

De acordo com a Trend Micro,  o Patchwork (também conhecido como Dropping Elephant) é um grupo de espionagem cibernética conhecido por visar agências diplomáticas e governamentais que desde então se tornaram parte da sua lista de alvos.

O nome do grupo deve-se à notoriedade de redirecionar ferramentas off-the-rack ferramentas e malwares para suas próprias campanhas. Os vetores de ataque usados não são inovadores – outros grupos usam zero-days ou ajustam suas táticas -, mas o repertório de vetores e cargas úteis do grupo faz com que sejam uma verdadeira ameaça.

A Trend Micro monitorou as atividades de Patchwork nas suas campanhas durante o ano de 2017. A diversidade de seus métodos é notável – desde armadilhas de engenharia social, cadeias de ataque e backdoors.

Eles também se juntaram à Dynamic Data Exchange (DDE) e à Windows Script Component (SCT), explorando bandwagons e começaram a explorar recentemente vulnerabilidades reportadas. Isso significa que estão pelo menos atentos às outras ameaças e falhas de segurança que podem ser usadas para seus próprios fins. Também é importante observar suas tentativas de serem mais cautelosos e eficientes em suas operações.

Quais são os alvos do Patchwork?

O Patchwork visou vários setores na China e no sul da Ásia. A Trend Micro também encontrou e-mails de spear-phishing enviados para organizações no Reino Unido, Turquia e Israel.

Os alvos não eram apenas personalidades de alto perfil, mas também varejistas online B2C, empresas de telecomunicações e mídia, pesquisadores aeroespaciais, bem como instituições financeiras (ou seja, bancos). Também visaram o Programa de Desenvolvimento das Nações Unidas.

Ainda segundo a Trend Micro, as motivações do grupo para escolher os alvos não são claras; não parecem ser cibercriminosos por natureza, mas relacionados à espionagem. Com base no malware usado, o foco são dados críticos ou confidenciais, ao contrário de informações que possam gerar receitas.

O que é usado para infectar os sistemas de seus alvos?

E-mails de spear-phishing são os meios básicos usados para acessar o alvo, usando e-mails com redirecionamentos de sites, links diretos ou anexos maliciosos. Foi notado por exemplo que o Patchwork falsificou um site de notícias para desviar os visitantes para documentos com malware, criados com engenharia social.

E-mails de spear-phishing com links diretos para documentos infectados foram hospedados em servidores do Patchwork, cujos domínios são semelhantes aos sites legítimos. Os atacantes usaram serviços de distribuição de e-mail e boletim para enviar esses spams.

O Patchwork usou táticas de download drive-by, criando um site falso Youku Tudou, uma plataforma popular de vídeo na China. A vítima seria levada a baixar e executar uma falsa atualização do Adobe Flash Player, que na verdade é uma variante do xRAT Trojan.

O grupo também enviou e-mails de phishing para sequestrar os e-mails de seus alvos e outras contas online. Um de seus kits de phishing, por exemplo, copiou uma página web legítima de uma empresa de desenvolvimento web.

As páginas de phishing só podem ser acessadas por meio dos links nos e-mails enviados para as possíveis vítimas; caso contrário, o usuário é redirecionado para a página benigna e imitada.

Que tipo de documentos o Patchwork infectou?

Muitos dos documentos analisados pela Trend Micro foram de um diretório que o Patchwork acidentalmente deixou aberto. O grupo usou temas sociopolíticos como armadilhas de engenharia social.

Além dos documentos com exploits, o Patchwork também usou DDE para recuperar e executar o xRAT na máquina infectada e também enviaram um documento incorporado com um executável, que faz o download de um backdoor, e passa a executá-lo.

Como funcionam as operações do Patchwork?

A Trend Micro encontrou de 30 a 40 endereços IP, bem como nomes de domínio usados pelo grupo em 2017. Cada servidor tem um propósito diferente. Alguns são apenas servidores C&C que coletam dados enviados pelos ladrões de arquivos e nenhum nome de domínio aponta para esses endereços IP.

Em alguns casos, o mesmo servidor é usado para comunicação C&C e também atua como um site hospedando conteúdo copiado de sites legítimos e propagando malware ou documentos infectados. Outros servidores são usados?apenas para hospedar sites de phishing.

Os atacantes usam scripts de PHP publicamente disponíveis para recuperar arquivos do servidor sem divulgar seus reais caminhos. Isso pode ser feito para fins de rastreamento, mas é mais provável que isso impeça os pesquisadores de encontrar diretórios abertos.

Em várias ocasiões, a Trend Micro observou a remoção temporária de um arquivo para que não pudesse ser recuperado. Em algumas vezes, os cibercriminosos o substituíam por um arquivo legítimo para enganar os pesquisadores.

Em algumas das páginas de seus servidores, é exibida uma página falsa de redirecionamento 302 para enganar os pesquisadores e fazer com que os arquivos desapareceram.

O que as organizações podem fazer?

O Patchwork faz parte de um ciclo vicioso, tendo em vista o hábito do grupo de redirecionamento de ferramentas e malwares. Quanto mais são usados, mais provável é que sejam incorporados no arsenal do grupo.

A lição para as empresas? A gama de ferramentas e técnicas à disposição do Patchwork mostra a importância de uma defesa em profundidade: uma defesa proativa para frustrar ameaças em cada nível – desde gateways, endpoints, e redes até servidores.

As empresas devem manter os sistemas operacionais e aplicativos atualizados – ou usar uma correção virtual para sistemas antigos – para evitar falhas de segurança e impedir que os invasores as usem.

Firewall, sandbox, e sistemas de detecção e prevenção de intrusão ajudam a detectar bandeiras vermelhas na rede. Aplicar o princípio de menos privilégio: usar blacklists e proteger o uso de ferramentas geralmente reservadas para administradores de sistema, como o PowerShell.

A segmentação de rede e a categorização de dados ajudam a frustrar o movimento lateral e o roubo adicional de dados. O monitoramento do comportamento e o controle de aplicativos/whitelists bloqueiam rotinas incomuns executadas por arquivos suspeitos.

E, o mais importante, é proteger o gateway dos e-mails. Apesar do patchwork apenas reutilizar vulnerabilidades e malwares, eles são bem-sucedidos; basta uma camada suscetível para afetar toda a cadeia.

DEIXE UMA RESPOSTA

Por favor digite seu comentário!
Por favor, digite seu nome aqui

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.