TeslaGun preparado para explodir uma nova onda de ataques cibernéticos de backdoor
Quais detalhes ocultos do painel de controle de ataque recém-descoberto nos dizem sobre como o grupo de ameaças Evil Corp gerencia suas campanhas de malware backdoor ServHelper.
Um painel de ataque cibernético recém-descoberto apelidado de TeslaGun foi descoberto, usado pela Evil Corp para executar campanhas de backdoor ServHelper.
Dados coletados de uma análise da equipe Prodraft Threat Intelligence (PTI) mostram que a gangue de ransomware Evil Corp (também conhecida como TA505 ou UNC2165, juntamente com meia dúzia de outros nomes de rastreamento coloridos) usou o TeslaGun para realizar campanhas de phishing em massa e campanhas direcionadas contra mais de 8.000 organizações e indivíduos diferentes. A maioria dos alvos foi nos EUA, que representaram mais de 3.600 das vítimas, com uma distribuição internacional dispersa fora disso.
Houve uma expansão contínua do malware backdoor ServHelper, um pacote de longa duração e constantemente atualizado que está em ação desde pelo menos 2019. Começou a ganhar força novamente no segundo semestre de 2021, de acordo com um relatório da Cisco Talos , estimulado por mecanismos como instaladores falsos e malware instalador associado como Raccoon e Amadey.
Mais recentemente, a inteligência de ameaças da Trellix informou no mês passado que o backdoor ServHelper foi encontrado recentemente soltando criptomineradores ocultos nos sistemas.
O relatório da PTI , divulgado na terça-feira, aprofunda os detalhes técnicos por trás do TeslaGun e oferece alguns detalhes e dicas que podem ajudar as empresas a avançar com contramedidas importantes para algumas das tendências de ataque cibernético de backdoor predominantes hoje.
Ataques de backdoor que burlam os mecanismos de autenticação e silenciosamente estabelecem persistência em sistemas corporativos são alguns dos mais desconcertantes para os defensores da segurança cibernética. Isso porque esses ataques são notoriamente difíceis de detectar ou prevenir com controles de segurança padrão.
Atacantes de backdoor diversificam seus ativos de ataque
Pesquisadores do PTI disseram que observaram uma ampla gama de diferentes perfis de vítimas e campanhas durante suas investigações, apoiando pesquisas anteriores que mostraram que os ataques do ServHelper estão vasculhando as vítimas em uma variedade de campanhas simultâneas. Este é um padrão de ataque de marca registrada de lançar uma ampla rede para acertos oportunistas.
“Uma única instância do painel de controle TeslaGun contém vários registros de campanha representando diferentes métodos de entrega e dados de ataque”, explicou o relatório. "As versões mais recentes do malware codificam essas diferentes campanhas como IDs de campanha."
Mas os invasores cibernéticos farão o perfil das vítimas ativamente
Ao mesmo tempo, TeslaGun contém muitas evidências de que os invasores estão traçando o perfil das vítimas, fazendo anotações copiosas em alguns pontos e realizando ataques de backdoor direcionados.
"A equipe do PTI observou que o painel principal do painel TeslaGun inclui comentários anexados aos registros da vítima. Esses registros mostram dados do dispositivo da vítima, como CPU, GPU, tamanho da RAM e velocidade da conexão à Internet", disse o relatório, explicando que isso indica direcionamento para criptomineração oportunidades. "Por outro lado, de acordo com os comentários das vítimas, está claro que o TA505 está procurando ativamente por usuários de bancos ou varejo online, incluindo carteiras criptográficas e contas de comércio eletrônico".
O relatório disse que a maioria das vítimas parece operar no setor financeiro, mas que esse direcionamento não é exclusivo.
A revenda é uma parte importante da monetização de backdoor
A maneira como as opções de usuário do painel de controle são configuradas oferece aos pesquisadores muitas informações sobre o "fluxo de trabalho e a estratégia comercial" do grupo, segundo o relatório. Por exemplo, algumas opções de filtragem foram rotuladas como "Vender" e "Vender 2" com vítimas nesses grupos com protocolos de área de trabalho remota (RDP) temporariamente desativados pelo painel.
"Isso provavelmente significa que o TA505 não pode lucrar imediatamente com a exploração dessas vítimas em particular", segundo o relatório. “Em vez de deixá-los ir, o grupo marcou as conexões RDP dessas vítimas para revenda a outros cibercriminosos”.
O relatório do PTI disse que, com base nas observações dos pesquisadores, a estrutura interna do grupo era "surpreendentemente desorganizada", mas que seus membros ainda "monitoram cuidadosamente suas vítimas e podem demonstrar uma paciência notável, especialmente com vítimas de alto valor no setor financeiro".
A análise observa ainda que a força do grupo é sua agilidade, o que torna difícil prever a atividade e detectar ao longo do tempo.
No entanto, os invasores de backdoor não são perfeitos, e isso pode oferecer algumas pistas para os profissionais de segurança cibernética que desejam frustrar seus esforços.
"No entanto, o grupo apresenta algumas fraquezas reveladoras. Embora o TA505 possa manter conexões ocultas nos dispositivos das vítimas por meses, seus membros geralmente são extremamente barulhentos", disse o relatório. "Depois de instalar o ServHelper, os agentes de ameaças do TA505 podem se conectar manualmente aos dispositivos das vítimas por meio de encapsulamento RDP. As tecnologias de segurança capazes de detectar esses túneis podem ser vitais para capturar e mitigar os ataques de backdoor do TA505."
A Evil Corp, ligada à Rússia (e sancionada) tem sido um dos grupos mais prolíficos dos últimos cinco anos. De acordo com o governo dos EUA , o grupo é o cérebro por trás do Trojan financeiro Dridex e tem associações com campanhas usando variantes de ransomware como WastedLocker. Ele continua a aprimorar uma série de armas para seu arsenal também; na semana passada, veio à tona que está associado a infecções por Raspberry Robin .
A PTI usa o TA505 para rastrear a ameaça, e o consenso é sólido , mas não universal, de que TA505 e Evil Corp são o mesmo grupo. Um relatório no mês passado do Centro de Coordenação de Segurança Cibernética do Setor de Saúde (HC3) disse que "atualmente não suporta essa conclusão".
A ServDigital é especialistas no oferecimento de projetos e soluções personalizadas para Segurança de Dados e conformidade da LGPD.
www.servdigital.com.br
#servdigital #segurançadedados #proteçãodedados #segurançadigital #cibersegurança #ciberataque #ransomware #malware