Pesquisadores de segurança cibernética da Kaspersky revelaram as novas táticas, técnicas e procedimentos (TTPs) empregados pelo grupo de ameaças APT 31 — também conhecido como Judgment Panda e Zircônio. A pesquisa, conduzida pela equipe de inteligência de ameaças da empresa, joga luz sobre implantações dedicadas à coleta e exfiltração de dados das redes visadas, especialmente de organizações industriais (OT).
Segundo a Kaspersky, os invasores pretendiam estabelecer um canal permanente para a exfiltração de dados, incluindo informações confidenciais armazenadas em sistemas air-gapped, ou seja, que não estão conectados à internet ou a outros sistemas online. “Os esforços deliberados do operador da ameaça para ofuscar suas ações por meio de cargas criptografadas, injeções de memória e sequestro de DLL parecem ter o intuito de enfatizar a sofisticação de suas táticas”, comentou Kirill Kruglov, pesquisador sênior de segurança da Kaspersky ICS CERT.
O pesquisador identificou mais de 15 implantações distintas e suas variantes, divididos em três categorias com base em suas funções. Os implantes de primeiro estágio foram projetados para coletar e arquivar dados na máquina local (on premises). Ele operava coletando informações do sistema infectado e armazenando-as localmente para posterior exfiltração.
Implantações de segundo estágio são focadas na coleta de informações sobre unidades removíveis. Ao visar essas unidades, os invasores ganharam um meio de se infiltrar em redes air-gapped. Essa técnica permitiu que o malware se espalhasse para sistemas isolados, infectando mídias removíveis.
“Embora a exfiltração de dados de sistemas air-gapped seja uma estratégia recorrente adotada por muitos grupos APT e campanhas de ciberespionagem direcionadas, desta vez ela foi projetada e implementada exclusivamente pelo operador”, explicou Kruglov.
Por fim, as implantações de terceiro estágio foram responsáveis por enviar os dados exfiltrados para um servidor de comando e controle (C&C). Essa etapa final permitiu que o operador da ameaça acessasse e utilizasse as informações roubadas.
Veja isso
Grupo APT ligado à China mira ministérios nas Américas
Malware BRATA Android é classificado como padrão APT
Em um relatório publicado nesta segunda-feira, 31 de julho, a Kaspersky explicou que a operação para a implantação foi meticulosamente planejada, envolvendo várias etapas e técnicas para permanecer indetectável. Por exemplo, o implante dedicado a coletar arquivos locais usou uma técnica de sequestro de DLL para garantir a persistência, injetando cargas úteis em processos legítimos.
Os pesquisadores da Kaspersky enfatizam a importância de permanecer vigilante contra essas ameaças e fazem recomendações para aprimorar as defesas de segurança cibernética em organizações industriais. “À medida que a investigação continua, [nós] continuamos resolutos em sua dedicação à proteção contra ataques cibernéticos direcionados e à colaboração com a comunidade de segurança cibernética para disseminar inteligência acionável”, concluiu Kruglov.
As recomendações incluem a instalação de soluções de segurança atualizadas, a restrição do uso de contas privilegiadas e o emprego de serviços gerenciados de detecção e resposta para uma rápida mitigação de ameaças.