A FireEye publicou um relatório mostrando como monitorou o grupo de hackers PittyTiger. Com um modo de ação típico de uma ameaça APT (sigla em inglês para Ameaça Avançada Persistente), eles utilizam todos os métodos possíveis para extrair informações de seus alvos. Provavelmente baseado na China, o PittyTiger opera desde 2011, mas informações recentes levam a crer que o início de suas atividades pode ter sido em 2008. Eles têm seu próprio malware e, além disso, criam variações de outros por meio de builders, personalizando sua ação.
As operações do PittyTiger monitoradas pela FireEye começam pelo uso de engenharia social. Nesta etapa é criado um perfil da vítima, com todo tipo de informação disponível em redes sociais ou em qualquer arquivo público. A partir dessa coleta de dados é criado um malware e um e-mail spearphishing específico para o alvo em questão, além de páginas comprometidas com malwares. Um spearphishing é muito mais perigoso do que um simples phishing, pois é direcionado a uma vítima específica.
Num ataque recente do PittyTiger contra uma empresa francesa, os invasores enviaram mensagens simples e diretas em inglês e em francês a partir de contas em e-mails gratuitos, usando nomes reais de funcionários da empresa alvo. O anexo é um malware disfarçado como documento de texto que se aproveitava de um exploit (brecha) do Microsoft Office.
Analisando os rastros, a FireEye descobriu que os documentos maliciosos foram criados por intermédio de dois builders (ferramenta para construir documentos maliciosos) compartilhados por vários grupos de invasores.
Infiltrado via spearphishing, o malware gera um arquivo executável e um documento “isca” para que a vítima não suspeite de nada. Na primeira parte do ataque, o PittyTiger implantou no sistema o Backdoor.APT.Pgift, um malware de primeiro estágio que conecta o computador da vítima em um servidor de comando e controle, criando assim uma via de comunicação. As informações que o Backdoor.APT.Pgift envia sobre o sistema comprometido, incluem:
Nome do Host
Nome do Usuário
Tipo de sistema (32 ou 64 bits)
Sistema Operacional
Empresa
Dono
Portas e Processos
Software em execução
Software instalado
Configurações de rede
Apesar de transmitir algumas informações sobre o computador comprometido, a função principal do Backdoor.APT.Pgift é implantar nele o malware de segundo estágio, que tem capacidade ainda maior (lista abaixo), podendo obter controle total do computador. Com ele o invasor se move “lateralmente”, invadindo outros computadores e dispositivos da rede. A FireEye analisou amostras de malwares usados pelo PittyTiger, sendo os principais:
Backdoor.APT.Colt (a.k.a. CT RAT) – usado como um backdoor de segundo estágio. O comportamento da amostra é similar ao antigo PittyTiger, mas de maneira distinta. Os invasores o rotularam como PittyTiger v. 1.3 e usam uma interface que mostra informação do sistema associada com um computador comprometido e dá ao atacante remote Shell.
Backdoor.APT.PittyTiger – este é um clássico malware “PittyTiger” (PittyTigerV1.0) que foi usado ostensivamente pelo grupo em 2012 e 2013. Este malware permite ao invasor usar um remote Shell, upload e download de arquivos e captura de tela.
Backdoor.APT.Lurid (ou MM RAT / Troj/Goldsun-B) – é uma variante do malware Enfal/Lurid que é usado por vários grupos diferentes desde 2006. Esta variante tem a mesma função, mas os nomes de arquivo mudaram. A FireEye observou que o malware Enfal/Lurid é usado desde 2011 e em conjunto com o Backdoor.APT.Pgift como transportador do documento malicioso usado em ataques spearphishing.
Variações do Gh0st – o relatório da Cassidian Cyber Security revela que os invasores também usaram variações do Gh0st, um RAT (Remote Administration Tool) bem conhecido e usado por muitos atacantes. Essas variações são conhecidas como Paladin RAT e Leo RAT.
PoisonIvy – o grupo usou o malware Poison Ivy durante 2008 e 2009. A empresa analisou amostras que conectam os nomes de domínios usados pelo grupo. As amostras foram compiladas em 2008 e 2009 (uma delas com uma compilação de 2008 enviada ao VirusToral no mesmo ano levando a crer que as marcas de hora não foram alteradas).
A FireEye não observou nesse caso o uso de zero-days.