Trend Micro divulga relatório trimestral sobre ataques direcionados

0

A Trend Micro divulgou o primeiro de uma nova série regular de relatórios trimestrais sobre ataques direcionados. Este primeiro relatório centra-se no segundo trimestre de 2013 e analisa em profundidade uma nova campanha já identificada e chamada de "EvilGrab", que tem como alvo softwares de segurança e que usa sistemas de áudio e vídeo para capturar informações e realizar escutas.

Uma característica fundamental da campanha EvilGrab é o fato dela alvejar produtos de segurança específicos, que são o alvo do malware EvilGrab. Essa tática, cada vez mais comum, mostra que os responsáveis pelos ataques estão aprendendo sobre a infraestrutura de segurança de um alvo como uma parte regular de sua fase de coleta de informações. Essa tática foi vista também no recente ataque ao New York Times.

Uma técnica muito interessante utilizada com o EvilGrab é o uso de áudio e vídeo para capturar dados. O EvilGrab usa software de captura de vídeo para roubar informações da tela de um sistema infectado. Ele também usa o microfone acoplado como um dispositivo de escuta secreta.

Os ataques direcionados neste trimestre focaram em entidades governamentais por uma larga margem. Os ataques mais comuns foram iniciados por meio de e-mail de spear phishing com arquivo anexos de arquivos .ZIP ou documentos .RTF. Existem duas outras tendências interessantes observadas em e-mails de spear phishing neste trimestre:

– Em alguns casos, arquivos .EXE estavam anexados, mas responsáveis pelos ataques alteraram os ícones para parecerem com documentos ou pastas comuns, arquivos que os usuários tendem a ver como mais seguros que os arquivos executáveis.

– Há um aumento do uso de arquivos que fazem uso de técnicas de override de leitura da direita para a esquerda (RTLO) em Unicode para mascarar arquivos executáveis. Estes ataques abusam de uma característica significava para permitir que usuários leiam arquivos em idiomas que usam alfabetos da direita para a esquerda, como árabe ou hebraico.

A investigação detalhada do EvilGrab mostra que China, Japão, Estados Unidos, Canadá, França, Espanha e Austrália foram os principais países alvejados. Além disso, os ataques começam com mensagens de spear phishing. Ao contrário das tendências mais amplas, estes usaram documentos maliciosos anexados Microsoft Office ou Adobe Acrobat.

Extração de dados: Como os protagonistas destas ameaças roubam os dados? 

A "extração de dados" é o último estágio de um ataque direcionado, no qual os responsáveis pelo ataque roubam dados de uma rede que já conseguiram comprometer. Existem quatro estágios de ataques direcionados:

– Estágio 1 – Compilação de Inteligência

– Estágio 2 – Ponto de Entrada

-Estágio 3 – Comunicação de Comando e Controle

– Estágio 4 – Movimento lateral

PI

Não existe uma solução única para interromper a fase de extração de dados de um ataque direcionado. A Trend Micro recomenda cinco áreas de foco com base nas melhores práticas da indústria:

Ter uma infraestrutura devidamente configurada incluindo:

– Esquema de armazenamento de dados segmentado

– Análise de informações de entrada e registro

– Modelo de menor privilégio para contas de usuários e estações de trabalho

– Certificação de que estratégias de proteção de dados estão sendo usadas para ajudar a proteger os dados contra acessos não autorizados para evitar perdas.

– Ter uma Equipe Multifuncional de Resposta a Incidentes que possa habilmente investigar evidências forenses e criar um plano claro de ação para mitigar o impacto do ataque

– Estabelecer e manter um programa ativo e permanente de inteligência de ameaças para manter-se ciente sobre ameaças atuais para que seja possível adaptar suas defesas para se igualar ao conhecimento dos responsáveis pelos ataques.

-Considerar um programa de testes de penetração para identificar e corrigir os pontos fracos que poderiam ser explorados por intrusos. 

A cada trimestre, este relatório observará tendências em detalhe, bem como se aprofundará em uma determinada campanha APT.

DEIXE UMA RESPOSTA

Por favor digite seu comentário!
Por favor, digite seu nome aqui

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.