Grupo APT plantou backdoors para espionar empresas da Ásia Central e uma instituição governamental

Grupo APT plantou backdoors para espionar empresas da Ásia Central e uma instituição governamental

18.05.2020

A Avast acaba de divulgar uma análise conjunta de um ataque APT dirigido a empresas e instituições da Ásia Central. A empresa trabalhou em conjunto com analistas de malware da ESET, examinando amostras usadas por um grupo APT (Advanced Persistent Threat) que tinha o objetivo de espionar uma empresa de telecomunicações, uma companhia de gás e uma instituição governamental da Ásia Central.

O grupo plantou backdoors para obter acesso de longo prazo às redes corporativas. Com base nas análises, a Avast suspeita que o grupo também esteja por trás de ataques ativos na Mongólia, Rússia e Bielorrússia. A Avast acredita que o grupo é da China, devido ao uso do Gh0st RAT - que é conhecido por ser utilizado por grupos chineses de APT, no passado. Além disso, há semelhanças no código que a Avast analisou e no código verificado recentemente em uma campanha atribuída a cibercriminosos chineses.

Os backdoors deram aos cibercriminosos capacidades de manipular e excluir arquivos, extrair capturas de tela, alterar processos e serviços, executar comandos de console e se remover. Além disso, alguns comandos podiam instruir os backdoors a extrair dados para um servidor C&C. Os dispositivos infectados também podiam ser controlados por um servidor C&C, para agir como proxy ou escutar por uma porta específica em cada uma das interfaces de rede. O grupo usou ainda ferramentas como Gh0st RAT e instrumentação de gerenciamento, para se mover lateralmente dentro das redes infiltradas.

“O grupo por trás do ataque frequentemente recompilou as suas ferramentas personalizadas para evitar a detecção por antivírus que, além de backdoors, incluía Mimikatz e Gh0st RAT. Isso levou a um grande número de amostras, com os binários frequentemente protegidos por VMProtect, tornando a análise mais difícil”, diz Luigino Camastra, pesquisador de malware da Avast. "Com base no que descobrimos e no fato de termos conseguido vincular os elementos desses ataques com os cibercriminosos por trás deles envolvidos em outras localidades, presumimos que esse grupo também estivesse mirando outros países".

A Avast relatou as suas descobertas à equipe CERT local e contatou a empresa de telecomunicações afetada, a qual descobriu que estava sob ataque.