No cenário atual, onde a tecnologia avança a passos largos e nossas vidas se entrelaçam cada vez mais com o mundo digital, surge uma preocupação fundamental: a proteção da privacidade dos cidadãos frente à crescente coleta e tratamento de dados pessoais. Neste contexto, a Lei Geral de Proteção de Dados Pessoais (LGPD) emerge como um importante instrumento para garantir que nossas informações mais sensíveis sejam preservadas.

O que é a LGPD e como ela nos protege?

Aprovada em 2018, a Lei Geral de Proteção de Dados Pessoais, carinhosamente chamada de LGPD, é uma legislação brasileira que estabelece regras claras para o tratamento de informações pessoais por parte de empresas e instituições públicas e privadas. Inspirada no bem-sucedido Regulamento Geral de Proteção de Dados (GDPR) da União Europeia, a LGPD foi concebida para empoderar os cidadãos ao dar-lhes maior controle sobre seus dados.

O Aumento Exponencial de Ataques Cibernéticos

Em um relatório divulgado em 2022 pela renomada empresa de segurança digital Kaspersky, constatou-se que, durante o período da pandemia, as empresas enfrentaram um aumento significativo de tentativas de ataques cibernéticos, ultrapassando mais que o dobro do número registrado em 2019. As informações coletadas para essa pesquisa abrangeram dados até novembro de 2021. Além disso, a Apura Cyber Intelligence, outra referência no setor de cibersegurança, trouxe à tona um alarmante registro de que pelo menos 69 empresas brasileiras foram alvo de ataques de vazamento e sequestro de dados no primeiro semestre de 2021.

Os Direitos do Cidadão

Baseada na transparência e no consentimento explícito, a Lei Geral de Proteção de Dados (LGPD) estabelece um dos seus pilares fundamentais ao garantir que empresas e organizações sejam transparentes em suas ações quanto à coleta e tratamento das informações pessoais dos indivíduos. Agora, os termos de serviço extensos e pouco claros são coisa do passado, pois a legislação assegura que os titulares têm o direito de estar cientes de como e por que seus dados serão utilizados, antes que qualquer ação seja realizada.

Impacto nas Empresas

A LGPD trouxe uma revolução nas políticas de privacidade e segurança das empresas. Para se alinharem à nova legislação, muitas organizações precisaram reavaliar seus processos internos, implementar medidas de segurança mais sólidas e capacitar seus colaboradores em relação às novas diretrizes. Embora os custos dessa adaptação possam ser altos, as empresas compreendem que investir na proteção de dados representa um diferencial competitivo e evidencia seu compromisso com a segurança e confiança de seus clientes.

Responsabilidade das Empresas

A nova legislação também impõe às empresas a responsabilidade pelo tratamento adequado dos dados. Elas devem atuar com cautela e segurança, assegurando a integridade das informações e protegendo-as contra acessos não autorizados. Afinal, a privacidade do usuário deve ser respeitada em todas as fases de coleta e processamento.

A Confiança dos Consumidores

Com a LGPD, os consumidores agora têm mais controle sobre suas informações pessoais e a garantia de que suas vidas privadas estão protegidas. Isso tem impacto direto na confiança depositada nas empresas, especialmente em um cenário em que vazamentos e violações de dados se tornaram recorrentes. Empresas que adotam boas práticas de proteção de dados se tornam mais atraentes para o público, conquistando a lealdade de seus clientes.

A Fiscalização da ANPD

Criada em 2019, a Autoridade Nacional de Proteção de Dados (ANPD) assumiu a importante função de fiscalizar e aplicar as sanções previstas na LGPD. De forma vigilante, a ANPD tem trabalhado incansavelmente para assegurar o cumprimento das obrigações pelas empresas e a preservação dos direitos dos cidadãos. Empresas que negligenciam as normas estão sujeitas a multas pesadas, o que reforça a imprescindível importância da conformidade com a legislação.

A Importância da LGPD

A Lei Geral de Proteção de Dados (LGPD) representa uma importante conquista para a privacidade e a segurança dos cidadãos brasileiros. Com suas diretrizes claras e sanções rigorosas, ela estabelece um novo padrão de respeito aos dados pessoais em um mundo digital que valoriza a informação. À medida que empresas se adaptam e cidadãos exercem seus direitos, a LGPD se consolida como um avanço essencial para garantir que a tecnologia trabalhe a favor das pessoas, protegendo suas vidas privadas no ambiente virtual.

A campanha suspeita de ser originada no Brasil tem como objetivo obter acesso ilegal a bancos online, visando principalmente vítimas de língua espanhola e portuguesa, localizadas principalmente em Portugal, México e Peru. Os atores ameaçadores utilizam táticas como LOLBaS (Living Off the Land Binaries and Scripts), e scripts baseados em CMD para suas atividades maliciosas. Eles empregam e-mails de phishing em português e espanhol, além de estratégias de engenharia social para enganar as vítimas. Os e-mails exploram assuntos como infrações de trânsito e impostos, criando um senso de urgência e legitimidade para obter as credenciais bancárias online das vítimas.

Informações resumidas do MITRE ATT&CK®

Armamentação e visão geral técnica

Análise técnica

Contexto

Na América Latina, ameaças com motivação financeira prevalecem, com uso frequente de malware com cargas finais de PE. As técnicas empregadas incluem abuso de scripts VBE, imagens ISO e pacotes MSI. Nesse caso específico, os atores ameaçadores utilizam scripts baseados em CMD, scripts AutoIt e LOLBaS. Essas técnicas permitem que eles evitem a detecção por medidas de segurança tradicionais, explorando ferramentas e comandos internos do Windows. O objetivo é obter acesso não autorizado aos sistemas das vítimas, extrair informações confidenciais e comprometer contas bancárias e sistemas de pagamento. Os principais alvos são Portugal, México e Peru, países com uma alta proporção de falantes de espanhol e português. A escolha desses países é motivada pela ampla adoção de serviços bancários online, tornando-os alvos rentáveis para atividades fraudulentas.

A descoberta inicial de arquivos CMD, utilizando o AutoIt para execução, ocorreu no final de 2021. Isso indica que os atores ameaçadores estavam em fase de testes, nomeando os arquivos como “demo” ou “teste”. A análise do script AutoIt descompilado forneceu informações sobre a linha do tempo dessa campanha de ataque.

Figura 01: Arquivos CMDStealer com taxa de detecção muito baixa no Virus Total

Operação CMDStealer Vetor de ataque

A cadeia de infecção começa com o recebimento de um e-mail de phishing elaborado. Esses e-mails são projetados para chamar a atenção das potenciais vítimas. Um exemplo identificado foi um e-mail com o título “Multa de Trânsito” ou “infração de trânsito” em português. Cada e-mail contém um anexo HTML.

Figura 02: Conteúdo do e-mail de phishing

O conteúdo do e-mail utiliza táticas alarmantes, apresentando supostas evidências de uma violação de tráfego, solicitando que o usuário abra o anexo HTML que contém códigos aparentemente inúteis e dados no formato HEX.

Figura 03: Conteúdo do anexo “multa_de_transito_502323.html”

Após a decodificação do blob de dados em HEX, um endereço URL é revelado. Após a limpeza, o URL se torna hxxps[:]//multa-ansr-pt[.]fun/?hcBViJAi9EZSc3YQwxpEwfmD7xdG0IF34EWGHj6Q, que é resolvido para o endereço IP 162.0.232[.]115. Durante a análise dos arquivos “.HTML”, foram identificados vários URLs codificados em formato HEX, alguns dos quais estão listados a seguir:

• hxxps[:]//factura61[.]click/2/?j5szsmo0bk8tOSQSMS4mmp1XtQrmbNYoCB2GBem8
• hxxps[:]//factura61[.]click/2/?vzlv9CZ1gnLrNIaWBJBhJNWRCt7IVXDDwVzOQhSs
• hxxps[:]//sunat-pe[.]fun/?D80gaUJDUfuLG6lodTSEi7qoqciBWk5xE5w81pJO
• hxxps[:]//factura61[.]click/2/?CTtBmkRN8KPXVTgUn1ArCPGb5WXTXTaT7etdD7TC
• hxxps[:]//factura61[.]click/2/?yqJl8r7henupax3WsUvITb0PuSw5sn7HyZWGMvDv
• hxxps[:]//factura61[.]click/2/?GxkVBvEBTFfSDqaFr8Yjw9kyKH01xRseHoF0DNQc
• hxxps[:]//multa-ansr-pt[.]fun/?UFqQBhFaXulvEfeTbI38FFDKRth1r2DWKOFqUI0Y
• hxxps[:]//multa-ansr-pt[.]fun/?l4mm0DEhDbJPYd5qAQmwst09TDTjjvYjiG7ByCvx

Ao abrir o arquivo anexado “multa_de_transito_502323.html”, o JavaScript embutido é acionado e se conecta ao endereço hxxps[:]//multa-ansr-pt[.]fun/?hcBViJAi9EZSc3YQwxpEwfmD7xdG0IF34EWGHj6Q para baixar a próxima etapa, que é um arquivo compactado (RAR). O arquivo compactado é geralmente nomeado de acordo com um dos esquemas de nomenclatura, e alguns exemplos desses esquemas estão listados abaixo:

• doc-Impuestos_<[0-9]{6}>.rar
• doc-Impostos_<[0-9]{6}>.rar
• Documento_Impostos_<[0-9]{6}>.rar
• Multa_<[0-9]{6}>.rar
• Impuestos-Documento_<[0-9]{6}>.rar

A BlackBerry identificou campanhas georreferenciadas diferenciadas para cada país específico. Pesquisadores de ameaças relataram campanhas semelhantes no passado, direcionadas especificamente ao México.

Armamento

O arquivo mencionado anteriormente contém um único arquivo “.CMD”, geralmente com um dos seguintes nomes (embora haja outros):

• doc-Impuestos.cmd
• doc-Impostos.cmd
• Impuestos-Documento.cmd
• doc_Factura.cmd
• Documento_Impostos.cmd

O “.CMD” é relativamente grande, com um tamanho variando entre 1,34 - 1,37MBs, e consiste em dois blobs de dados codificados em base64, juntamente com instruções de código para sua execução. O script é descrito na gravação do SANS publicada em 06/01/2023.

Figura 04: Instruções de código para execução de bloco de dados base64

O primeiro blob de dados base64 é um script AutoIt compilado, enquanto o segundo é o interpretador AutoIt usado para executar o primeiro arquivo. O objetivo do script AutoIt é realizar a enumeração do host e baixar um arquivo “.VBS” que será executado usando o comando “SHELLEXECUTE”. Em seguida, o script chama a função “_OUTRECOVERY()” para roubar dados do Outlook, como servidor, usuário e senhas das chaves de registro POP3, SMTP e IMAP. O script também chama a função “_CHROMERECOVERY()” e faz o download do arquivo “sqlite3.dll” de “hxxps[:]//www[.]AutoitScript[.]com/autoit3/pkgmgr/sqlite/” para o roubo de senhas do Chrome. Todos os dados são enviados de volta para o servidor C2 do invasor usando o método HTTP POST. O servidor C2 é construído com os dados enumerados da vítima, onde os valores são especificados.

• v1 – Idioma do sistema operacional (por exemplo, 1033 – Inglês EUA)
• v2 – layout de teclado (por exemplo, 1033 – Inglês EUA)
• v3 – versão do sistema operacional (Windows 7,8,10,11 ou desconhecido)
• v4 – é alvo de um administrador ou usuário
• v5 – Arquitetura do sistema operacional (x86 ou x64)

A URL então se torna:

• hxxp[:]//publicpressmagazine[.]com/images/swan/do/it[.]php?b1=1&v1=1033&v2=1033&v3=windows%2010&v4=admin&v5=x86
• hxxp[:]//websylvania[.]com/psj/do/it[.]php?b1=1&v1=3082&v2=1034&v3=windows%207&v4=user&v5=x64

Para obter persistência no sistema infectado, ele conta com o seguinte código:

Figura 05: Persistência no sistema

Dentro dos scripts AutoIt descompilados, que foram utilizados para atingir o México, foi identificado que uma lista de bancos mexicanos estava especificada. Caso encontrados, alguns desses dados eram enviados de volta ao invasor.

Figura 06: Metas financeiras no México

Com base nas URLs dos alvos financeiros no México, o agente de ameaças por trás do CMDStealer está altamente interessado em comprometer contas corporativas/comerciais.

Operação: Infraestrutura de Rede CMDStealer

A infraestrutura de phishing e comando e controle (C2) é hospedada em serviços que possuem vários domínios associados a um único endereço, incluindo serviços de fluxo rápido, dificultando a análise de tráfego do NetFlow e o rastreamento da infraestrutura. Os domínios utilizados têm informações “whois” editadas e dados cadastrais obscuros, o que contribui para ocultar a identidade dos atores ameaçadores. Foram identificados vários hosts que se comunicam com a maioria dos C2 do CMDStealer, mas não foi possível confirmar a propriedade do ator ameaçador devido à falta de comunicações confiáveis. As campanhas têm utilizado consistentemente o mesmo caminho de URL, */do/it.php, desde pelo menos 20/8/2022, o que pode servir como um indicador útil para fins de alerta.

Alvos

O foco principal deste ataque são as vítimas localizadas em Portugal, México e Peru. Além disso, a configuração específica utilizada para atingir as vítimas no México indica que o ator ameaçador está especialmente interessado em contas comerciais online, que geralmente possuem um fluxo de caixa melhor.

Atribuição

Com base na análise de código e linguagem, os pesquisadores estão confiantes de que o autor dessa campanha de ameaça pertence à América Latina, mais especificamente ao Brasil.

Conclusões

Para se defender contra a execução do LOLBaS, é recomendada uma abordagem em camadas. Isso inclui a implementação de soluções robustas de segurança de endpoint, capazes de detectar e bloquear comportamentos suspeitos e execuções não autorizadas do LOLBaS. Além disso, é importante aplicar o princípio do privilégio mínimo, seguindo uma abordagem de confiança zero, garantindo que os usuários tenham apenas as permissões necessárias para suas tarefas, minimizando assim o impacto potencial da execução do LOLBaS. Treinamentos regulares de conscientização em segurança devem ser fornecidos para educar os funcionários sobre os riscos associados à engenharia social. É crucial realizar o monitoramento contínuo e a auditoria dos logs do sistema para detectar e investigar qualquer atividade suspeita relacionada ao LOLBaS.

ANEXO 01: Hashes Referenciais

ANEXO 02: Contramedidas Aplicadas

Regras da YARA

Regras da SURICATA

A equipe de pesquisa do ReversingLabs descobriu um novo ataque ao PyPI que utiliza o código Python compilado para evitar a detecção, considerado o primeiro ataque a explorar a execução direta do arquivo PYC.

A equipe do ReversingLabs descobriu um novo tipo de ataque que utiliza código Python compilado para evitar a detecção. Esse é o primeiro ataque direcionado à cadeia de suprimentos que se aproveita da execução direta dos arquivos de código de bytes (PYC) do Python. Esse incidente ocorreu durante um aumento de envios maliciosos para o PyPI (Python Package Index), representando um risco para a cadeia de suprimentos, já que muitas ferramentas de segurança ignoram esse tipo de ataque.

No dia 17 de abril de 2023, o pacote suspeito chamado fshec2 foi relatado à equipe de segurança do PyPI e prontamente removido do repositório. A equipe de pesquisa identificou o pacote como suspeito, revelando detalhes sobre o método utilizado pelos invasores para evitar detecção e compartilhando informações sobre a infraestrutura de comando e controle (C2) do malware, bem como evidências de ataques bem-sucedidos.

Detectação: comportamentos incomuns

A equipe do ReversingLabs realiza verificações regulares em repositórios de código aberto, buscando arquivos suspeitos. Durante uma varredura, eles encontraram o pacote fshec2, que chamou atenção devido a comportamentos incomuns. Ao descompilar o arquivo, foram observados comportamentos suspeitos, como URLs referenciando um endereço IP e a criação de processos. Uma revisão manual revelou que o pacote consiste em três arquivos, sendo que o terceiro, “full.pyc”, revelou comportamentos intrigantes, revelando a verdadeira natureza do pacote.

Figura 01: Arquivos contendo funcionalidade de pacote

Desmascarando um loader incomum

Agentes de ameaças estão buscando constantemente maneiras de evitar a detecção por soluções de segurança. O ReversingLabs identificou um aumento no volume de malware no PyPI nos últimos meses, e técnicas de ofuscação, como a execução de código malicioso codificado em Base64, que foi identificada pela primeira vez em campanhas associadas aos autores do W4SP em novembro de 2022. Variações desse tipo de ataque, nas quais o código malicioso é incorporado no código, mas deslocado para além dos limites visíveis da tela (ocultando-o da visualização), ainda são comumente encontradas.

O pacote fshec2 adota uma abordagem diferente, colocando a funcionalidade maliciosa em um único arquivo de código de byte Python compilado, evitando o uso de ferramentas de ofuscação. Em vez disso, ele coloca a funcionalidade maliciosa em um único arquivo que contém código de byte Python compilado.

Como os ataques do Python (geralmente) funcionam

Os ataques maliciosos usando Python geralmente envolvem arquivos Python de texto simples, arquivos Python compilados e arquivos Python compilados em executáveis nativos. Na maioria dos casos, os executáveis são baixados e executados pelos arquivos Python de texto simples, através de infraestruturas externas, em campanhas maliciosas usando pacotes do PyPI.

No entanto, o pacote fshec2 adota uma abordagem diferente. Ele contém um arquivo Python compilado chamado full.pyc, que contém funcionalidade maliciosa. A importação de uma função em main.py desencadeia uma técnica de carregamento inédita, utilizando o Importlib, que evita a detecção por ferramentas de segurança. Essa escolha reforça a intenção de evitar a detecção e sugere que o Importlib é utilizado com esse propósito, mesmo que a biblioteca carregada por main.py permaneça inalterada.

Figura 02: Carregamento do módulo Python compilado de main.py

Após o carregamento do módulo, o método get_path é invocado (mostrado na figura 03). Utilizando a ferramenta ReversingLabs Software Supply Chain Security, a equipe de pesquisa conseguiu detectar e extrair esse código a partir do arquivo PYC descompilado. O método get_path não é encontrado no pacote fshec2 original. Esse método executa funções maliciosas, como coletar nomes de usuário, nomes de host e listagens de diretórios, que são comumente observadas em outros pacotes maliciosos do PyPI. Além disso, o método procura por comandos definidos para execução por meio de tarefas agendadas ou cronjobs, dependendo da plataforma do host.

Figura 03: O código descompilado extraído do arquivo de código de byte compilado full.pyc mostrando o conteúdo do método get_path().

Os comandos buscados pelo método get_path são, na verdade, outro script Python que pode ser alterado (mostrado na figura 04). Durante a análise, a equipe de pesquisa observou que o script baixou e executou um segundo script Python chamado cron_script, localizado no mesmo host. O cron_script possuía funcionalidade semelhante ao script encontrado em full.pyc, o módulo Python compilado fornecido com o pacote PyPI.

Essa abordagem torna o ataque fshec2 altamente adaptável. O arquivo full.pyc contém a funcionalidade para baixar comandos de um servidor remoto, enquanto os comandos baixados são inseridos no cron_script, permitindo o download periódico de novos comandos. Essa flexibilidade permite que os invasores modifiquem o conteúdo dos comandos, possibilitando que o malware sirva novas instruções.

Figura 04: Código responsável por baixar o arquivo cron_script

Um host da Web mal configurado desiste das mercadorias

Durante a investigação do host utilizado no ataque, foram descobertas informações interessantes devido a erros de configuração cometidos pelos autores do malware. Ao tentar acessar uma página inválida no host, em vez de receber um erro 404, os visitantes foram apresentados a uma página de um aplicativo Django que listava vários comandos. Essa exposição acidental revelou detalhes sobre o funcionamento interno do software malicioso. (Consulte a Figura 05)

Figura 05: locais da web descobertos

Felizmente para nós, o aplicativo Django estava configurado no modo de depuração, o que exibia mensagens de erro detalhadas que nos forneceram uma lista abrangente dos caminhos no host acessíveis. Alguns desses caminhos já foram vistos nos scripts baixados usados no ataque, mas havia novos caminhos que não tínhamos encontrado antes, como “admin”, “uploaded_files” e “download”. Infelizmente, a trilha esfriou lá, porque todos os três caminhos exigem autorização para acessar a funcionalidade das respectivas páginas.

Figura 06: Formulário de download de arquivo protegido por senha

Apesar da equipe de pesquisa não ter acesso à senha, erros de configuração revelaram alguns detalhes importantes sobre o malware. Por exemplo, um dos comandos permitia o download de arquivos por meio de uma ID específica. Além disso, nomes de arquivo foram expostos, sem a necessidade de autorização. A presença desses erros sugere que o ataque não foi realizado por um ator estatal patrocinado ou uma Ameaça Persistente Avançada (APT).
Embora não haja evidências suficientes para confirmar essa suposição, foi possível determinar que o ataque teve sucesso em alguns casos, infectando pelo menos dois alvos com nomes de usuário e hosts específicos. Além disso, os nomes de arquivos sugerem que o malware pode ter funcionalidades de keylogging. No entanto, não pode ser descartada a possibilidade de que haja outros canais de distribuição além do pacote fshec2 no PyPI que ainda não foram descobertos.

Figura 07: Nomes dos arquivos que podem ser baixados

Conclusão

O pacote malicioso fshec2 e a infraestrutura C2 associada destacam como os autores de malware podem evitar facilmente a detecção por meio da análise do código-fonte. Os scripts de carregador, como os encontrados neste pacote, contém apenas uma quantidade mínima de código Python e têm como objetivo principal carregar um módulo Python compilado, que acaba sendo malicioso. A ferramenta de segurança padrão do PyPI, o Inspector, atualmente não oferece recursos para analisar arquivos binários em busca de comportamentos maliciosos. Portanto, foi necessário descompilar o código compilado do arquivo .pyc para identificar sua funcionalidade suspeita e maliciosa.

Figura 08: ferramenta Inspector fornecida pela equipe de segurança do PyPI

A descoberta do código malicioso no pacote fshec2 destaca a importância crescente de detectar funções maliciosas, como get_path, para equipes de segurança e DevSecOps. Muitas soluções de segurança de aplicativos não se concentram na segurança da cadeia de suprimentos ou realizam apenas análises de código-fonte durante a inspeção de segurança do pacote. Isso permite que o malware, oculto no código de byte compilado do Python, passe despercebido pelas soluções de segurança tradicionais.

A ReversingLabs Software Supply Chain Security oferece suporte à análise estática e descompactação de diversos formatos de arquivo binário, incluindo o tipo de código de byte Python compilado encontrado nesse ataque. Essa capacidade de analisar esse tipo de arquivo permite que os defensores extraiam indicadores de intenção maliciosa, tornando mais fácil a avaliação da segurança dos pacotes.

Figura 09: Indicadores de comportamento e strings de rede extraídos do arquivo PYC descompilado usando o ReversingLabs Software Supply Chain Security.

Essa abordagem inclui detecção de criação de processos, execução de arquivos, coleta de informações confidenciais, presença de endereços IP e muito mais. A simples varredura do código-fonte de pacotes de código aberto não será suficiente para identificar esse tipo de ameaça. À medida que os invasores se tornam mais avançados e exploram suas vantagens, torna-se necessário utilizar ferramentas mais avançadas para garantir a segurança contínua de seu código e infraestrutura de desenvolvimento de software.

Indicadores de comprometimento (IoCs)

Servidor C2:

13.51.44.246

Afirmar que o ransomware é um desafio significativo para organizações em todo o mundo seria uma subestimação.

O ransomware passou de um tipo comum de malware para se tornar uma forma de extorsão online no mundo do crime cibernético. Os valores dos resgates aumentaram significativamente, com organizações multinacionais sendo exigidas a pagar milhões de dólares para restaurar sua infraestrutura de TI. Isso levou à evolução e profissionalização da indústria de crimes cibernéticos, com um mercado subterrâneo que oferece suporte de produtos e serviços. Assim como a indústria de tecnologia, o ecossistema do crime cibernético adotou uma abordagem orientada a serviços, terceirizando diferentes aspectos de operações para provedores especializados em formato “como serviço”. É crucial que as organizações compreendam sua exposição ao ransomware e o impacto desses ataques.

Extorsão é o novo preto

O panorama do ransomware evoluiu desde suas origens em 1989, e os criminosos cibernéticos financeiramente motivados podem ser classificados em três categorias principais:

• Um ponto importante é o surgimento de grupos de extorsão que utilizam o ransomware para criptografar os sistemas de suas vítimas, mas não operam uma plataforma de vazamento de dados. Esses atores exigem um resgate em troca de um decodificador.

• O grupo de extorsão multiponto, que emprega ransomware/ técnicas destrutivas para prejudicar as operações de uma vítima. Além disso, eles também roubam dados confidenciais e chantageiam ameaçando vazar esses dados na dark web. Esses atores exigem um resgate em troca do fornecimento de um decodificador ou da devolução dos dados, bem como para evitar o vazamento das informações. Esses pagamentos podem ocorrer de forma única ou em parcelas separadas.

• Os grupos de extorsão de dados, que não seguem o padrão tradicional do ransomware, mas se dedicam exclusivamente ao roubo de informações, em seguida, ameaçam vazar esses dados caso um resgate não seja pago. Nesses casos, normalmente não há destruição de dados ou criptografia envolvida.

A maioria dos ataques de ransomware atualmente é realizada por grupos de extorsão de ponto singular, que são mais simples e não exigem uma grande infraestrutura. Esses grupos têm sido responsáveis por ataques impactantes, exigindo grandes quantias de dinheiro, e costumam divulgar seus crimes por meio de sites de vazamento na dark web. No entanto, apenas algumas das vítimas são expostas nesses sites, já que aqueles que pagam o resgate podem não ter suas informações vazadas. Alguns argumentam que os grupos de extorsão de dados devem ser considerados parte do cenário de ransomware, pois estão interconectados com outros grupos. As estatísticas apresentadas se baseiam em uma análise de vazamentos de dados de diversos grupos de extorsão, embora abranjam apenas uma pequena parte do cenário de ransomware.

Em resumo:

• LockBit, Clop e Alphv foram os grupos de extorsão multipontos mais predominantes no cenário de ransomware.

• Os recém-chegados BianLian, Royal e Play parecem ter recursos, infraestrutura e capacidade para se tornarem figuras dominantes na paisagem sem intervenção. É importante ressaltar que esses novos grupos não devem ser subestimados, porque podem ser compostos por criminosos altamente experientes, com anos ou até décadas de experiência em crimes cibernéticos.

• Os Estados Unidos foi o país mais visado, representando 51% de todos os ataques.

• Embora o setor da construção tenha sido o mais afetado em 2022, todos os setores foram visados, incluindo educação e saúde, apesar de muitos grupos de extorsão afirmarem seguir um “código moral” que supostamente os impediria de atacar essas áreas.

O crime cibernético como serviço nasceu do sucesso do RaaS

Uma tendência comum entre os principais grupos de ransomware é a adoção do Ransomware como Serviço (RaaS), onde eles atuam como provedores de serviços, oferecendo ferramentas e conhecimentos especializados para afiliados em troca de uma porcentagem dos lucros. Isso impulsionou a profissionalização do setor de ransomware e o rápido crescimento de uma indústria de serviços que fornece recursos para grupos emergentes de ameaças. Esses grupos podem comprar e vender serviços de forma anônima usando criptomoedas e a dark web.

Organizações que buscam combater o ransomware têm como objetivo impactar os lucros desses grupos. Embora as apólices de seguro cibernético tenham impulsionado mudanças positivas, é importante reconhecer que elas também podem fornecer financiamento para o cibercrime. As autoridades têm obtido certo sucesso ao impor sanções a organizações e tornar ilegal o pagamento de resgate. Essa tendência provavelmente continuará em 2023, à medida que o ransomware é reconhecido como uma ameaça de alto nível.

Compreender e contextualizar as atividades cibernéticas maliciosas associadas aos grupos de invasão cibernética do Irã durante o período de 2022-2023. Embora não forneça uma lista completa de campanhas ou grupos de invasão específicos, este relatório oferece uma análise estratégica abordando a ameaça cibernética originada do Irã. As informações contidas têm como data limite o dia 5 de maio de 2023.

Contexto

A República Islâmica do Irã mantém uma doutrina de ofensiva cibernética não divulgada publicamente. No entanto, com base em observações de suas capacidades, é possível identificar três objetivos estratégicos alinhados com seus interesses geopolíticos. Primeiramente, o Irã utiliza operações cibernéticas para manter a estabilidade interna, monitorando dissidentes políticos e ativistas considerados vetores de influência estrangeira. Em segundo lugar, busca proteger seu território nacional contra ameaças militares e cibernéticas, empregando operações de espionagem cibernética para coletar informações sobre intenções adversárias. O terceiro objetivo é utilizar operações cibernéticas como uma ferramenta para promover e proteger sua influência regional na política externa.

O Irã tem sido alvo de várias operações cibernéticas, o que influencia sua estratégia, pois frequentemente conduz operações de retaliação. A origem do uso iraniano de operações cibernéticas ofensivas está relacionada ao Movimento Verde de 2009 e à detecção do Stuxnet em 2010. Esses eventos destacaram a importância da vigilância da internet para manter a estabilidade do regime e mostraram o potencial das operações cibernéticas ofensivas.

Nos anos de 2022 e 2023, o Irã enfrentou desafios geopolíticos elevados que podem impactar sua estratégia cibernética. A eleição do presidente Ebrahim Raisi em 2021 trouxe ao poder conservadores radicais, afetando as negociações do acordo nuclear JCPOA e intensificando as tensões com países ocidentais. Além disso, o envolvimento iraniano no fornecimento de armas à Rússia durante o conflito russo-ucraniano alimentou os confrontos políticos. Desafios internos, como instabilidade econômica e protestos civis, também afetaram o país. Em abril de 2023, o anúncio de retomada das relações diplomáticas entre Teerã e Riad, após o rompimento em 2016, foi uma iniciativa facilitada pela China.

Organização Iraniana de ofensiva cibernética

A República Islâmica do Irã possui uma capacidade operacional de ciberataques que é principalmente conduzida por dois de seus principais órgãos de inteligência e segurança: o Corpo da Guarda Revolucionária Islâmica (IRCG) e o Ministério da Inteligência (MOIS).

Corpo da Guarda Revolucionária Islâmica

O IRGC (Corpo de Guardiões da Revolução Islâmica) é um ramo das Forças Armadas do Irã estabelecido após a Revolução Iraniana de 1979. É uma milícia ideologicamente orientada e responsável pela proteção do sistema político da República Islâmica. Os principais cargos dentro do IRGC são nomeados pelo líder supremo, Ali Khamenei, garantindo uma relação de subordinação direta a ele e contornando o papel do presidente. O IRGC é considerado uma força militar de elite, com divisões especializadas em operações terrestres, aeroespaciais, navais e ciberespaciais. Além disso, o IRGC inclui a milícia voluntária paramilitar Basij e uma unidade especial chamada Quds, ambas relatadas como envolvidas em operações cibernéticas ofensivas.

O IRGC (Corpo de Guardiões da Revolução Islâmica) possui grupos de invasão cibernética associados, como APT35, APT42, Nemesis Kitten e Cotton Sandstorm. Esses grupos têm como alvo entidades governamentais, militares, energéticas, de transporte marítimo e de pesquisa estrangeiras, incluindo think tanks, ONGs e acadêmicos que lidam com assuntos relacionados ao Irã e ao Oriente Médio. Utilizam principalmente técnicas de spear phishing em mídias sociais como vetor inicial e têm objetivos estratégicos, como espionagem, sabotagem, operações de informação e, em menor escala, objetivos lucrativos.

De acordo com a Sekoia.io e outros fornecedores de segurança cibernética, o APT35 é avaliado como sendo operado pela Organização de Inteligência do IRGC (IRGC-IO). Ele é composto por vários aliases ou subgrupos, como Charming Kitten, ITG18, TA453 e Cobalt Mirage. Além disso, o recém-exposto APT42 é um conjunto de intrusão focado em indivíduos que trabalham para ONGs e think tanks. A Sekoia.io avalia que Nemesis Kitten também faz parte do cluster APT35.

Ministério da Inteligência

O Ministério da Inteligência da República Islâmica do Irã (MOIS em inglês, ou VEVAK para sua sigla farsi), é o principal serviço de inteligência estrangeiro. Ele sucedeu o SAVAK, serviço de inteligência do regime anterior do Xá. É responsável por operações no exterior e pela vigilância interna. Suas atribuições frequentemente se cruzam com as do IRGC, havendo uma relação competitiva entre as duas entidades.

O MOIS (Ministério da Inteligência e Segurança) é responsável pela inteligência de sinais e coleta de informações de comunicações eletrônicas no Irã. Ao contrário do IRGC, o MOIS é subordinado ao presidente, não ao líder supremo. Embora ambas as estruturas tenham como objetivo proteger o regime, o MOIS é considerado mais técnico e menos ideológico em comparação com o IRGC.

Os conjuntos de intrusão ativa associados ao MOIS, como MuddyWater, Oilrig (também conhecido como APT34), Hexane, Agrius e o recentemente exposto DarkBit (também conhecido como DEV-1084), concentram-se principalmente em setores como governo, energia, telecomunicações e transporte marítimo. Esses grupos realizam operações cibernéticas ofensivas com o propósito de espionagem, sabotagem e influência.

Os conjuntos de intrusão ativa MuddyWater, Oilrig e Hexane provavelmente são operados diretamente por agentes do MOIS, uma vez que foram observadas sobreposições em suas técnicas, táticas e procedimentos (TTPs), bem como coordenação de tempo operacional, de acordo com analistas da Sekoia.io. Não está claro se o DarkBit (também conhecido como DEV-1084) é um subgrupo do MuddyWater ou um conjunto de intrusão recém-observado que realiza operações pós-intrusão e destrutivas.

Empreiteiros, empresas privadas e universidades associadas às operações cibernéticas do Irã

Há relatos de que as organizações cibernéticas do Irã contratam empresas privadas e institutos ligados a universidades para conduzir operações de ofensiva cibernética tanto no país quanto no exterior. Essas contratações são utilizadas para ataques altamente técnicos e operações de influência em mídias sociais domésticas.

O conjunto de intrusão Nemesis Kitten, associado ao cluster APT35 e operado pelas empresas privadas Afkar System e Najee Technologies, contratadas pelo IRGC-IO, é observado realizando atividades estratégicas de espionagem, bem como campanhas lucrativas de ransomware. Não está claro se as atividades lucrativas fazem parte de um mandato do IRGC-IO ou se as empresas as realizam visando seu próprio lucro.

Outro exemplo de empresas privadas contratadas é a Emennet Pasargad, associada ao conjunto de intrusões Cotton Sandstorm (ex-NEPTUNIUM), avaliada por conduzir operações de espionagem e influência ideológica em nome da IRGC-Electronic Warfare and Cyber Defense Organisation.

O Ministério da Inteligência também faz uso de empreiteiros, como a Ravin Academy, uma empresa cofundada por ex-gerentes da MuddyWater e Oilrig, responsável pelo treinamento e recrutamento de operadores ofensivos para o MOIS.

A Sekoia.io tem conhecimento de ex-contratados como o Mabna Institute, Rana Institute, ITSecTeam, Ashiyane Security Team e Shadid Beheshti University, todos envolvidos no passado com operações cibernéticas no Irã. No entanto, conjuntos de intrusão associados a esses contratados não foram observados como ativos durante o período de 2022-2023.

Objetivos das operações cibernéticas do Irã

Vigilância cibernética doméstica e espionagem estratégica

O Irã realiza operações cibernéticas com o objetivo de coletar inteligência estratégica, principalmente direcionada a Estados vizinhos que são rivais geopolíticos, como Israel, Arábia Saudita e países do Golfo Pérsico. Um exemplo notável é o conjunto de intrusão Oilrig, que foi observado visando o Ministério das Relações Exteriores da Jordânia em março de 2022, utilizando o malware Saitama. Essas operações de espionagem são mantidas em sigilo, e poucos detalhes sobre o escopo das violações ou os recursos afetados estão disponíveis publicamente.

A vigilância doméstica também é uma área de interesse para os conjuntos de intrusão ligados ao Irã. Conjuntos como APT35, APT42, Gatinho Doméstico e Água Lamacenta foram observados conduzindo atividades de vigilância interna. O conjunto de intrusão Domestic Kitten, por exemplo, realiza operações de vigilância móvel de longo prazo contra cidadãos iranianos. Outro exemplo é o uso do malware TelegramGrabber pelo APT35, detalhado pela PWC em agosto de 2022, que visa principalmente indivíduos com números de celular que pertencem ao Irã. É importante ressaltar que a vigilância doméstica se concentra especialmente na espionagem móvel, evidenciado pelo uso de malware como FurrBall e TelegramGrabber.

Operações cibernéticas destrutivas

O Irã é conhecido por realizar operações destrutivas, já que o primeiro ataque cibernético documentado pelo Irã, Shamoon 2012, alavancou um limpador destrutivo que teve um forte impacto na empresa saudita Saudi Aramco. O ataque foi mais tarde interpretado como uma retaliação a um aliado dos EUA pela operação Stuxnet.

Entre 2022 e 2023, os grupos de intrusão Irã-nexo continuaram a conduzir campanhas destrutivas com uma evolução operacional : o uso de frentes hacktivistas reivindicando responsabilidade e justificando a operação. Em julho de 2022, uma frente chamada HomeLand Justice assumiu a autoria de atividades disruptivas e destrutivas que afetaram o governo albanês. A operação foi atribuída principalmente aos grupos de intrusão Oilrig e Hexane, que atuam em nome do Ministério da Inteligência.

A personna DarkBit é outro exemplo. Em fevereiro de 2023, a MuddyWater realizou uma operação direcionada ao Instituto de Tecnologia Technion Israel, sediado em Haifa, usando uma falsa operação de ransomware como disfarce para uma ação destrutiva, utilizaram uma frente chamada “grupo DarkBit”. De acordo com informações da Microsoft, dois conjuntos de intrusão estiveram envolvidos nessa operação. MuddyWater carregou a intrusão inicial e entregou acesso ao conjunto de intrusão DarkBit (também conhecido como DEV-1084), que realizou um extenso reconhecimento, estabeleceu persistência e se moveu lateralmente antes de lançar um comando destrutivo.

É importante notar que essa é a primeira vez em que um conjunto de intrusão distinto é usado para atividades pós-intrusão e destrutiva. Sekoia.io analistas do TDR avaliam que o uso de frentes borradas para operações destrutivas provavelmente prosseguirá e aumentará, dado o aumento geral do uso de frente por conjuntos de intrusão Irã-nexus, notadamente para conduzir operações de informação.

Operações de informações Iranianas

As operações de informação lideradas por atores iranianos aumentaram consideravelmente em 2022 e 2023, visando promover e garantir a influência regional do Irã.

O grupo Cotton Sandstorm (anteriormente conhecido como NEPTUNIUM) é um dos mais ativos nesse tipo de operação. Operado pela Emennet Pasargad em nome da IRGC-Electronic Warfare and Cyber Defense Organisation, o Cotton Sandstorm foi acusado de realizar uma operação de informação em 2020 voltada para a equipe próxima a Donald Trump, com o objetivo de influenciar as eleições presidenciais dos EUA. Desde então, o grupo conduziu outras operações de informação significativas.

Em janeiro de 2023, o Cotton Sandstorm realizou uma operação de informação direcionada ao jornal francês Charlie Hebdo, extraindo dados de clientes. Em fevereiro de 2023, eles se passaram por uma persona chamada Al-Toufan e lançaram uma campanha de desfiguração contra o site de notícias do Bahrein, possivelmente para instigar protestos contra o governo alinhado com a Arábia Saudita. Além disso, o grupo teve como alvo Israel, incitando a resistência palestina e promovendo contra-narrativas contra a normalização das relações diplomáticas entre países árabes e Israel. Cada operação do Cotton Sandstorm foi amplificada por contas falsas nas redes sociais, disseminando sua narrativa.

Avalia-se que os conjuntos de intrusão Agrius, Oilrig e, em particular, Cotton Sandstorm, continuarão e aumentarão as operações de informação, utilizando frentes, com foco em países vizinhos adversários geopolíticos do Irã, como membros do Conselho de Cooperação do Golfo e Israel.

Operações lucrativas originárias do Irã

Até o momento, apenas dois conjuntos de intrusão foram associados a operações lucrativas: o Fox Kitten e o Nemesis Kitten. Esses grupos são suspeitos de serem operados por empresas privadas contratadas pelo IRGC.

O Nemesis Kitten, parte do cluster APT35, é operado por duas empresas privadas contratadas pelo IRGC. Em maio de 2022, ele foi acusado pela CISA dos Estados Unidos de realizar uma campanha de ransomware e mineração de criptomoedas de longo prazo, explorando uma vulnerabilidade do Log4J. Ainda não está claro se essa atividade lucrativa fazia parte do mandato do IRGC ou se era uma iniciativa tolerada conduzida pelas empresas Afkar System e Najee Technology como uma atividade secundária. Poucos detalhes adicionais estão disponíveis sobre as operações lucrativas desses conjuntos de intrusão.

Vitimologia Geográfica e Econômica

Setores mais impactados

Energia: O setor de energia é um alvo histórico para o Irã. Ao longo do tempo, o APT33 associado ao IRGC alavancou o malware destrutivo Shamoon para várias operações (2012, 2018, 2020), impactando a Saudi Aramco, o ativo econômico mais importante para a Arábia Saudita, um dos rivais regionais do Irã. A energia ainda é um alvo importante para conjuntos de intrusão de nexo Irã, mas poucos casos recentes (2022-2023) de código aberto estão disponíveis devido à natureza estratégica das entidades impactadas. Em abril de 2023, a Microsoft publicou sobre o APT35 associado ao IRGC, descrito como um conjunto de intrusão capaz de atingir diretamente a infraestrutura crítica dos EUA, incluindo empresas de energia e uma grande entidade de serviços públicos e gás dos EUA.

Telecomunicações: Desde o final de 2021, o setor de telecomunicações é cada vez mais impactado por conjuntos de intrusão de conexão Irã-Irã. Recentemente, em janeiro de 2023, a Microsoft identificou uma campanha de spear phishing da MuddyWater visando funcionários de operadoras de telecomunicações do Oriente Médio, o que concorda com as descobertas da Talos sobre os interesses da MuddyWater para um provedor de serviços de Internet armênio. Esse foco também foi compartilhado pela Hexane, que conduziu uma campanha de espionagem visando operadoras de telecomunicações com sede na Arábia Saudita, Tunísia, Marrocos e Israel no início de 2022. Sekoia.io avaliar que esse foco está possivelmente relacionado ao mandato MOIS SIGINT, já que esse setor é mais impactado por conjuntos de intrusão associados ao MOIS.

Transporte marítimo: Em 2022, o setor de transportes e, em particular, o transporte marítimo foram impactados pelas operações cibernéticas do Irã. Desde pelo menos julho de 2022, a APT35 realizou uma operação de espionagem visando funcionários de uma empresa de navegação e serviços marítimos com sede no Egito. Ao mesmo tempo, o UNC3890, um conjunto de intrusões Sekoia.io avaliar parte do cluster APT35, se concentrou em entidades de Israel, incluindo empresas de navegação marítima. Anteriormente, em dezembro de 2021, a Microsoft informou sobre o Irã-nexo DEV-0343, um conjunto de intrusão visando notavelmente portos de entrada do Golfo Pérsico e empresas globais de transporte marítimo com presença comercial no Oriente Médio. Sekoia.io avaliam com alta confiança que o setor de transporte marítimo é um alvo primário para conjuntos de intrusão associados ao IRGC, já que o Golfo Pérsico e o estreito de Ormuz são áreas críticas que devem cair no mandato do IRGC.

Infraestrutura crítica: De acordo com a avaliação de várias agências dos EUA referente a ameaças cibernéticas, os conjuntos de intrusão de conexão com o Irã são capazes de impactar as infraestruturas críticas dos EUA. No entanto, muito poucos alvos de infraestrutura podem ser observados em código aberto, além de uma operação originada no Irã com o objetivo de interromper e supostamente adulterar o fornecimento de água de Israel em junho de 2020.

Indivíduos ligados a ONGs, think tanks (fábricas de ideias) e universidades

Segundo a Sekoia.io no TDR, há uma tendência de direcionamento a indivíduos envolvidos em pesquisas relacionadas ao Oriente Médio e ao Irã. Isso inclui acadêmicos, membros de ONGs e funcionários de think tanks financiados pelo Ocidente. O conjunto de intrusão APT42, pertencente ao cluster APT35, concentra-se especificamente nesses alvos, como membros da equipe e ativistas da Human Rights Watch, bem como comentaristas políticos especializados em sanções e política de financiamento do terrorismo. A intrusão inicial geralmente envolve engenharia social avançada, como criação de perfis falsos ou contato progressivo, levando em consideração o perfil social das vítimas.

Regiões mais impactadas

As ameaças cibernéticas provenientes do Irã têm como alvos principais o Oriente Médio, com ênfase em Israel. No entanto, as publicações de código aberto não fornecem detalhes específicos sobre os países afetados, dificultando uma compreensão precisa dos estados impactados.

Além disso, as operações cibernéticas originadas do Irã aumentaram nos Estados Unidos durante o período de 2022-2023. Conjuntos de intrusão associados ao IRGC, como o APT35, estão ampliando suas operações direcionadas aos EUA. Embora a União Europeia e os Balcãs também sejam impactados em menor escala, há evidências de atividades disruptivas e destrutivas, como ocorreu no governo albanês. Isso ressalta o impacto que o Irã pode ter em países com níveis moderados de segurança cibernética.

Evolução recente da ameaça cibernética do Irã

Os conjuntos de intrusão com ligações ao Irã têm demonstrado um aumento em suas habilidades técnicas e capacidade de reagir rapidamente a vulnerabilidades divulgadas publicamente. Alguns grupos têm mostrado ser reativos a informações divulgadas pela imprensa, como no caso da Oilrig, cujas táticas vazaram parcialmente em um canal do Telegram. Houve também uma colaboração ativa entre conjuntos de intrusão associados à mesma estrutura, como observado na campanha na Albânia, que envolveu grupos como Hexane e Oilrig.

Além disso, o APT35 tem demonstrado rápida exploração de vulnerabilidades publicamente divulgadas, agindo dias após sua divulgação. Anteriormente, o grupo levava semanas para desenvolver exploits. Essa melhoria pode ser atribuída a iniciativas como a Ravin Academy, que facilitam a troca de operadores e táticas entre os grupos associados à MOIS.

Outro exemplo é o conjunto de intrusão Plaid Rain, sediado no Líbano, que suspeita-se estar coordenando suas atividades com outros atores afiliados à MOIS. Isso seria consistente com as conexões dos serviços de inteligência iranianos com grupos políticos xiitas, como o Hezbollah, que agora incluem atividades de inteligência cibernética.

Perspectivas Cibernéticas Iranianas

De acordo com a avaliação da Sekoia.io, é provável que a ameaça cibernética do Irã continue a se expandir nos próximos anos. Isso se deve ao avanço contínuo das capacidades técnicas e operacionais do país, impulsionado pelo contexto geopolítico atual, incluindo confrontos com Israel, países ocidentais e aliados, devido ao retorno dos ultraconservadores ao poder no Irã.

O confronto geopolítico deve persistir com membros do Conselho de Cooperação do Golfo, como a Arábia Saudita, apesar da normalização das relações diplomáticas entre eles. O Irã provavelmente continuará a realizar grandes operações cibernéticas destrutivas e usar frentes de ciber pessoal para amplificar suas operações de informação, visando reforçar sua influência regional e legitimar sua narrativa contra adversários geopolíticos.

Setores como operadores de telecomunicações no Oriente Médio e transporte marítimo serão alvos contínuos do MOIS e do IRGC, respectivamente. Essas ações fazem parte de uma estratégia de pré-posicionamento, visando garantir a capacidade do Irã em um potencial conflito aberto, onde a navegação e as telecomunicações no Golfo Pérsico desempenhariam um papel crítico para o país.

Diagrama organizacional parcial do IRGC a partir de dados vazados

Sumário executivo

Recentemente, uma série de ataques direcionados a instituições europeias com vínculos ao Sudeste e Leste Asiático tem sido atribuída ao Camaro Dragon, uma ameaça cibernética associada a operações de espionagem alinhadas aos interesses chineses. O Camaro Dragon está relacionado ao grupo de ameaças patrocinado pelo Estado conhecido como Mustang Panda. A Check Point Research tem acompanhado esses ataques e publicou um relatório detalhado sobre o backdoor MQsTTang, que revelou a presença de firmware malicioso em roteadores TP-Link. Esse firmware contém um implante personalizado chamado Horse Shell, que permite acesso persistente e a criação de uma infraestrutura anônima usando os roteadores comprometidos. Este relatório fornece uma análise detalhada de um backdoor previamente desconhecido, mas relacionado a esse conjunto de atividades, compartilhando uma infraestrutura comum e o objetivo de coletar informações de alto nível.

Principais conclusões

Um backdoor até então desconhecido chamado TinyNote foi encontrado em um dos servidores de distribuição do Camaro Dragon, além de ser visto na natureza. As amostras desse malware se comunicam com outros servidores de comando e controle (C&C) conhecidos, atribuídos ao Camaro Dragon.

O TinyNote é distribuído com nomes relacionados a assuntos de relações exteriores e tem como alvo potencial embaixadas do Sudeste e Leste Asiático.

O backdoor realiza uma evasão do antivírus indonésio SmadAV, uma ferramenta de segurança popular em países do sudeste asiático, como Mianmar e Indonésia. Essa evasão parece ser direcionada a um subconjunto específico dos alvos dessa campanha.

O backdoor TinyNote é um malware de primeiro estágio, limitado à enumeração básica de máquinas e à execução de comandos via PowerShell ou Goroutines. No entanto, ele se destaca pela sua redundância, buscando garantir uma posição firme na máquina infectada. Isso inclui a configuração de várias tarefas de persistência, a comunicação com diferentes servidores C&C e a utilização de diferentes tipos de execução de comandos C&C.

Introdução

Foi descoberto que alguns servidores relacionados ao Camaro Dragon expuseram ferramentas e arquivos de agentes maliciosos, protegidos apenas por uma Autorização HTTP básica com senha conhecida. Entre essas ferramentas, uma nova backdoor chamada TinyNote foi encontrada, juntamente com o Autoruns by Sysinternals e o HRSWord, uma ferramenta de proteção chinesa usada para desabilitar ferramentas de proteção de endpoint.
Essa backdoor usa nomes de arquivos relacionados a assuntos externos e possui um ícone de pasta para disfarçar seu verdadeiro propósito, seguindo a mesma convenção de nomenclatura usada pelo backdoor MQsTTang. O TinyNote foi desenvolvido na linguagem de programação Go e contém uma referência à infraestrutura militar de Mianmar em suas informações de direitos autorais e compilação. Além disso, foram encontrados indícios do interesse dos atores em entidades governamentais de Taiwan.

A backdoor permite que os atores obtenham informações da máquina infectada, configurem a persistência e executem comandos do servidor C&C de duas maneiras diferentes. Apesar de sua simplicidade, o TinyNote utiliza métodos para evitar a detecção por soluções antivírus específicas, indicando que os atores enfrentaram dificuldades para se posicionar em ambientes específicos.

Evasão SmadAV

Durante a execução inicial, o malware realiza uma função chamada bypassSMADAV para contornar o antivírus Smadav, que é popular na Indonésia, Sudeste Asiático e países africanos. A presença desse código destinado especificamente a contornar o Smadav confirma a natureza direcionada das campanhas do Camaro Dragon e sua familiaridade com as soluções de segurança utilizadas pelas vítimas. Em operações anteriores, os atores também exploraram o Smadav, forçando-o a carregar uma DLL maliciosa. Quando um novo processo é iniciado no sistema, o Smadav verifica as janelas abertas em busca de problemas, e se uma janela estiver visível, o ID do processo proprietário é adicionado a uma matriz.

Figura 01: Código SmadAV que coleta uma lista de PIDs que possuem janelas associadas.

Após verificar todas as janelas abertas, o antivírus Smadav compara o ID do processo recém-criado com os IDs armazenados em uma matriz. Se nenhum correspondente for encontrado, indicando que o novo processo não possui janelas visíveis, o antivírus considera o processo como malicioso e exibe um pop-up sugerindo o bloqueio. No entanto, os agentes de ameaças contornaram essa verificação ao criar uma janela sem nome de janela, mas com o nome de classe “EDIT”. Essa janela tem atributos especiais que a tornam aparentemente visível para a função de verificação, embora não seja exibida ao usuário e não apareça na barra de tarefas ou na alternância de janelas. Isso permite que o malware evite ser detectado pela verificação do antivírus.

Figura 02: Um pedaço de código de malware cria uma janela especialmente criada para contornar o smadAV.

Os agentes ameaçadores encontraram uma maneira de contornar a necessidade de chamar a função RegisterClass ao criar uma janela no Windows. Eles usaram um nome de classe padrão que permite criar a janela usando a função CreateWindowEx sem registrar uma classe anteriormente. Essa abordagem permite que a janela recém-criada seja considerada tecnicamente visível, permitindo que o backdoor continue sua execução sem ser interrompido.

Figura 03: Detecção de SmadAV no backdoor Go com a função bypassSMADAV removida.

Fluxo de execução backdoor

O malware cria um mutex chamado “NASA e USA” e, em seguida, inicia dois modos de operação. No primeiro modo, o malware se concentra em garantir a persistência, estabelecer um backdoor do PowerShell e “instalar” malware adicional. Ele começa verificando se a cadeia de caracteres “zip” está presente no caminho do arquivo. Se essa cadeia não for encontrada, o fluxo de execução continua. Em seguida, cria o diretório “c:\programdata\Robots” e as tarefas agendadas “test” e “test2”. Assim, o malware passa para o segundo modo de operação, no qual busca recuperar e executar comandos do PowerShell. Para isso, ele obtém os comandos a partir do arquivo “robots.txt” hospedado em diversos servidores C&C. Essa abordagem distribuída diminui a dependência de um único ponto de falha.

No momento da execução, ambos os servidores retornaram o mesmo código apontando para o terceiro servidor.

A carga final retornada é um backdoor leve do PowerShell, que recupera uma lista de comandos do cabeçalho CMD da resposta do servidor C&C, executa-os com Invoke-Expression, concatena as saídas com a cadeia de caracteres ‘n1w’ e os envia de volta ao servidor na solicitação POST.

O malware então copia a si mesmo para o arquivo zip com o nome [16 caracteres aleatórios].zip em c:\users\public, e também cria outra cópia de si mesmo para o caminho usando o nome zip como uma pasta, por exemplo, c:\users\public\pMiOxI3G44Igrpq7.zip. Tanto o arquivo dentro do zip quanto a cópia descompactada do arquivo recebem o mesmo nome gerado aleatoriamente [5 caracteres aleatórios].exe, por exemplo, 8q3Fj.exe.

Por fim, o malware cria uma tarefa agendada para executar sua cópia a partir de um caminho aleatório.

Segundo modo: a backdoor

Após obter persistência no sistema e ser executado a partir de um arquivo ZIP, o malware realiza as seguintes etapas:

1. Coleta informações do sistema, como o nome de usuário atual, pasta base do nome de usuário e interfaces de rede.
2. Os dados coletados são concatenados em uma sequência de caracteres.
3. A sequência de caracteres é criptografada usando um algoritmo XOR simples com a chave “NASA”.
4. Em seguida, a sequência de caracteres criptografada é codificada em Base64.
5. O malware seleciona aleatoriamente uma URL de comando e controle (C&C) entre as três disponíveis.
6. É construída uma solicitação GET usando a URL selecionada, incluindo a sequência de caracteres criptografada e codificada como parâmetro.

Os dados de enumeração codificados são armazenados em um cookie chamado “SSN”. Outros cabeçalhos na solicitação são construídos a partir de valores aleatórios servais. O cabeçalho do nome do host é selecionado a partir da seguinte lista:

• Google
• Facebook
• Gstatic
• Twitter

O agente do usuário também é aleatório e é selecionado na lista a seguir:

• Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:103.0) Gecko/20100101 Firefox/103.0
• Mozilla/5.0 (iPhone; CPU iPhone OS 12_0_1 como Mac OS X) AppleWebKit/605.1.15 (KHTML, como Gecko) Versão/12.0 Mobile/15E148 Safari/604.1
• Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:63.0) Gecko/20100101 Firefox/63.0
• Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, como Gecko) Chrome/104.0.0.0 Safari/537.36

O resultado esperado do servidor é um JSON com a seguinte estrutura:

Após a validação e decodificação JSON e Base64, o malware inicia uma Goroutine que executa o comando especificado e continua a aguardar por mais comandos em um loop.

Atribuição

Além da descoberta de uma das versões backdoor foi encontrada no servidor de distribuição do Camaro Dragon, há outras conexões significativas entre os atores e o malware:

• O servidor 103.159.132[.] 91, onde uma das versões do malware foi inicialmente encontrada, atuava como servidor (C&C) do backdoor, e também foi usado como servidor de distribuição para o backdoor MQsTTang durante o mesmo período.
• Outro servidor de C&C, 103.169.90[.] 132, é conhecido por ser utilizado pelos atores ameaçadores.
• A vitimologia e as iscas usadas são consistentes com as campanhas recentes do Camaro Dragon, incluindo a atividade relacionada ao backdoor MQsTTang. Além disso, os atores continuam utilizando o ícone de “pasta” e uma convenção de nomenclatura específica para alguns de seus backdoors, o que tem sido observado desde o início de 2023.

O terceiro servidor de comando e controle (C&C), com o endereço IP 5.188.33[.]190, possui certificados SSL exclusivos com os nomes alternativos mail.mofa.gov.tw, intra.mofa.gov.tw e *.mofa.gov.tw. Há outro servidor, com o mesmo certificado, localizado no endereço IP 23.106.123[.]59, que atualmente redireciona para a infraestrutura oficial do governo de Taiwan, mas é provável que esse servidor também tenha sido utilizado pelos atores ameaçadores para realizar ataques adicionais.

Conclusão

O backdoor TinyNote utilizado pelo grupo Camaro Dragon demonstra uma abordagem altamente direcionada e uma pesquisa extensiva antes de comprometer os sistemas de suas vítimas. Embora o backdoor em si não seja complexo tecnicamente, ele emprega diversas táticas notáveis para estabelecer uma presença inicial nos sistemas comprometidos. Isso inclui o uso da linguagem de programação Golang, que não havia sido observada anteriormente nas ferramentas do grupo. O backdoor tem funcionalidades mínimas e foi projetado para evitar a detecção de um software antivírus específico comumente instalado em potenciais alvos. A utilização simultânea desse backdoor juntamente com outras ferramentas de diferentes níveis de sofisticação técnica indica que o grupo está ativamente buscando diversificar seu arsenal de ataques.

IOCs

Os Clientes Check Point continuam protegidos

A emulação de ameaças oferece uma ampla cobertura de táticas de ataque, tipos de arquivos e sistemas operacionais, impulsionada pela inteligência artificial do ThreatCloud da Check Point. O ThreatCloud atua como o cérebro por trás de todas as soluções de segurança da Check Point.