Phishing é ainda uma das estratégias amplamente utilizado por cybercriminals e grupos de espionagem para obter uma posição inicial sobre os sistemas segmentados.
Embora cortar alguém com ataques de phishing foi fácil, há uma década, a evolução das tecnologias de detecção de ameaças e consciência cibernética entre as pessoas abrandou o sucesso de ataques de phishing e engenharia social, ao longo dos anos.
Desde phishing é mais uma espécie de oportunidade única para hackers antes de suas vítimas suspeitam-lo e provavelmente não vai cair para o mesmo truque novamente, grupos de hackers sofisticados começaram a colocar muito esforço, tempo e pesquisa para projetar phishing bem trabalhada campanhas.
Em um desses última campanha descoberto por pesquisadores de segurança cibernética da Check Point, um grupo de hackers chineses, conhecido como Rancor, foi encontrado realizando ataques muito segmentado e extensas contra entidades governamentais do sudeste asiático de dezembro 2018 a junho 2019.
O que é interessante sobre este 7 meses longa campanha em curso é que ao longo deste período, o grupo Rancor tem continuamente atualizado táticas, ferramentas e procedimentos (TTP) com base em suas metas, em um esforço para chegar a phishing conteúdo de e-mail e atrair documentos parecem estar tão convincente quanto possível.
“Os ataques observados começou com e-mails enviados em nome de funcionários de diferentes departamentos governamentais, embaixadas, ou entidades relacionadas com o governo em um país do sudeste asiático”, diz um relatório publicado pela CheckPoint e privada compartilhada com The Hacker News, antes do seu lançamento.
“Os agressores pareciam determinados a alcançar determinadas metas, como dezenas de e-mails foram enviados aos empregados nas mesmas ministérios. Além disso, a origem dos e-mails foi provavelmente falsificado para fazê-los parecer mais confiável.”
Em constante evolução táticas, ferramentas e procedimentos
Os investigadores descobriram combinações diferentes de TTP com base nas suas espaço temporal, entrega, persistência, e cargas, e em seguida, combinou em 8 variantes principais, como listado abaixo neste artigo.
Cada variante ataque começou com um e-mail clássico spear-phishing contendo um documento malicioso projetado para executar macros e explorar vulnerabilidades conhecidas para instalar um backdoor em máquinas das vítimas e obter acesso total aos sistemas.
A maioria dos documentos de entrega nesta campanha continha temas relacionados com o governo legítimo, como instruções para os funcionários governamentais, cartas oficiais, comunicados de imprensa, pesquisas, e mais, parecia ser enviado a partir de outros funcionários do governo.
Curiosamente, como parte da cadeia de infecção, na maioria das campanhas, os atacantes também trazer seus próprios executáveis legítimos, assinados e confiáveis dos principais produtos antivírus para o lado de carga DLLs maliciosos (Dynamic Link Library) arquivos para evitar a detecção, especialmente de produtos de monitoramento de comportamento.
Como mostrado nas ilustrações acima, os executáveis legítimos abusadas pertencem a produtos antivírus, incluindo um componente de antivírus Avast, agente BitDefender e Windows Defender.
Embora as cadeias de ataque envolvem atividades fileless como o uso de macros VBA, código PowerShell eo Windows legítimas ferramentas embutidas, esta campanha não é projetado para alcançar uma abordagem fileless como os investigadores disse ao The Hacker News que outras partes da campanha expor atividades maliciosas para o sistema de arquivos.
“Até o momento, não temos visto um ataque tão persistente em um governo;. Os mesmos ataques foram alvo de 7 meses Acreditamos que o governo dos EUA deve tomar nota”, pesquisadores alertaram que as eleições nos Estados Unidos estão perto.
“Para atacar o Governo dos EUA, esses hackers chineses não precisa mudar muito, exceto fazer seus documentos isca todos em Inglês, e incluem temas que provocam o interesse da vítima para que a vítima iria abrir o arquivo.”
grupo de hackers Rancor foi previamente encontrado atacando Camboja e Singapura e continuou suas operações contra entidades na região do Sudeste Asiático, e desta vez o grupo colocou 7 meses de seu esforço na segmentação do sector das administrações do Sudeste Asiático.
“Esperamos que o grupo para continuar a evoluir, mudando constantemente seus TTPs da mesma maneira como observamos ao longo da campanha, bem como empurrar seus esforços para contornar os produtos de segurança e evitar a atribuição”, concluem os pesquisadores.
Para saber mais sobre o grupo Rancor e sua mais recente campanha, você pode cabeça para o relatório CheckPoint intitulado “Rancor:. O Ano da Phish”
