Malware RoarBAT detectado pelo CERT ucraniano
A equipe de resposta a emergências de computador da Ucrânia (CERT-UA) relatou uma campanha de phishing em andamento que usa iscas com tema de fatura para espalhar o malware SmokeLoader. Os e-mails são enviados de contas comprometidas e contêm um arquivo ZIP que na verdade é um arquivo poliglota com um documento chamariz e um arquivo JavaScript. Este arquivo é usado para executar o malware SmokeLoader, cujo objetivo é baixar malwares mais eficazes nos sistemas infectados. O CERT-UA atribuiu essa atividade ao UAC-0006, um agente de ameaças com motivação financeira que busca roubar credenciais e transferir fundos sem autorização.
Além disso, a autoridade de segurança cibernética da Ucrânia revelou um ataque destrutivo contra organizações do setor público realizado pelo UAC-0165, um grupo que o CERT-UA atribuiu moderadamente ao grupo Sandworm. O ataque envolveu um malware limpador baseado em script em lote chamado RoarBAT, que procurava recursivamente por arquivos com extensões específicas e os excluía usando o utilitário WinRAR legítimo. O grupo também comprometeu os sistemas Linux usando um script bash que substituiu os arquivos com zero bytes para evitar a detecção.
O ataque foi facilitado pela falta de MFA ao fazer conexões remotas com VPN. O impacto destrutivo do ataque causou danos a computadores eletrônicos, equipamentos de servidor, locais de trabalho de usuários automatizados e sistemas de armazenamento de dados.
O que são agentes avançados de ameaças persistentes?
Os atores de ameaças persistentes avançadas (APT) são invasores cibernéticos altamente qualificados e motivados que conduzem campanhas de espionagem cibernética direcionadas e de longo prazo contra alvos específicos, como agências governamentais, infraestrutura crítica ou grandes corporações. Esses invasores usam técnicas sofisticadas para obter acesso não autorizado a informações e sistemas confidenciais, com o objetivo de roubar propriedade intelectual valiosa, informações classificadas ou dados financeiros.
Os APTs normalmente usam uma combinação de táticas, como spear-phishing, engenharia social, malware e ferramentas de acesso remoto para obter acesso aos sistemas visados. Depois de obter acesso, os agentes APT podem estabelecer uma base na rede, mover-se lateralmente dentro do ambiente de destino e permanecer indetectáveis por longos períodos de tempo enquanto exfiltram dados.
Os atores da APT geralmente são patrocinados pelo estado, com o apoio de estados-nação ou outras grandes organizações que possuem recursos significativos para apoiar suas operações cibernéticas. No entanto, eles também podem ter motivação financeira, trabalhando em nome de organizações criminosas que buscam roubar dados valiosos para obter lucro.
A defesa contra ataques APT requer uma abordagem multifacetada que inclui recursos avançados de detecção e resposta a ameaças, fortes práticas de higiene de segurança e monitoramento contínuo da atividade da rede em busca de sinais de comportamento suspeito.
