📰 Informação fresquinha chegando para você!
Sua opinião é importante: leia e participe!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Um grupo de espionagem cibernética anteriormente não documentado operando na Ásia invadiu as redes de pelo menos 70 organizações governamentais e de infraestrutura crítica em 37 países no ano passado, de acordo com novas descobertas da Unidade 42 da Palo Alto Networks.
Além disso, a equipa de hackers foi observada a realizar um reconhecimento ativo contra infraestruturas governamentais associadas a 155 países entre novembro e dezembro de 2025. Algumas das entidades que foram comprometidas com sucesso incluem cinco entidades de aplicação da lei/controlo de fronteiras a nível nacional, três ministérios das finanças e outros ministérios governamentais, e departamentos que se alinham com funções económicas, comerciais, de recursos naturais e diplomáticas.
A atividade está sendo monitorada pela empresa de segurança cibernética sob o apelido TGR-STA-1030, onde “TGR” significa grupo de ameaça temporária e “STA” refere-se a motivação apoiada pelo Estado. As evidências mostram que o ator da ameaça está ativo desde janeiro de 2024.
Embora o país de origem dos hackers permaneça obscuro, eles são avaliados como sendo de origem asiática, dado o uso de ferramentas e serviços regionais, preferências de configuração de idioma, segmentação consistente com eventos e inteligência de interesse para a região, e seu horário de funcionamento GMT+8.
Descobriu-se que cadeias de ataques aproveitam e-mails de phishing como ponto de partida para induzir os destinatários a clicar em um link que aponta para o serviço de hospedagem de arquivos MEGA, baseado na Nova Zelândia. O link hospeda um arquivo ZIP que contém um executável chamado Diaoyu Loader e um arquivo de zero byte chamado “pic1.png”.
“O malware emprega uma proteção de execução de dois estágios para impedir a análise automatizada de sandbox”, disse a Unidade 42. "Além do requisito de hardware de resolução de tela horizontal maior ou igual a 1440, o exemplo realiza uma verificação de dependência ambiental para um arquivo específico (pic1.png) em seu diretório de execução."
A imagem PNG atua como uma verificação de integridade baseada em arquivo que faz com que o artefato de malware seja encerrado antes de desencadear seu comportamento nefasto caso não esteja presente no mesmo local. Somente depois que essa condição for satisfeita é que o malware verifica a presença de programas específicos de segurança cibernética da Avira ("SentryEye.exe"), Bitdefender ("EPSecurityService.exe"), Kaspersky ("Avp.exe"), Sentinel One ("SentinelUI.exe") e Symantec ("NortonSecurity.exe").
Países alvo do reconhecimento TGR-STA-1030 entre novembro e dezembro de 2025
Atualmente não se sabe por que os agentes da ameaça optaram por procurar apenas uma seleção restrita de produtos. O objetivo final do carregador é baixar três imagens ("admin-bar-sprite.png", "Linux.jpg" e "Windows.jpg") de um repositório GitHub chamado "WordPress", que serve como um canal para a implantação de uma carga útil do Cobalt Strike. A conta GitHub associada ("github[.]com/padeqav") não está mais disponível.
O TGR-STA-1030 também foi observado tentando explorar vários tipos de vulnerabilidades de N dias, afetando um grande número de produtos de software da Microsoft, SAP, Atlassian, Ruijieyi Networks, Commvault e Eyou Email System para obter acesso inicial às redes alvo. Não há evidências que indiquem que o grupo tenha desenvolvido ou aproveitado qualquer exploração de dia zero em seus ataques.
Entre as ferramentas utilizadas pelo agente da ameaça estão estruturas de comando e controle (C2), web shells e utilitários de tunelamento -
Estruturas C2 - Cobalt Strike, VShell, Havoc, Sliver e SparkRAT
Conchas da Web - Behinder, neo-reGeorg e Godzilla
Túneis - GO Simple Tunnel (GOST), Fast Reverse Proxy Server (FRPS) e IOX
É importante notar que o uso dos web shells mencionados acima está frequentemente vinculado a grupos de hackers chineses. Outra ferramenta digna de nota é um rootkit do kernel Linux com o codinome ShadowGuard, que utiliza a tecnologia Extended Berkeley Packet Filter (eBPF) para ocultar detalhes de informações do processo, interceptar chamadas críticas do sistema para ocultar processos específicos de ferramentas de análise do espaço do usuário, como ps, e ocultar diretórios e arquivos chamados "swsecret".
“O grupo aluga e configura rotineiramente seus servidores C2 em infraestrutura de propriedade de uma variedade de provedores VPS legítimos e comumente conhecidos”, disse a Unidade 42. “Para se conectar à infraestrutura C2, o grupo aluga infraestrutura VPS adicional que usa para retransmitir o tráfego.”
O fornecedor de segurança cibernética disse que o adversário conseguiu manter o acesso a várias das entidades afetadas durante meses, indicando esforços para coletar inteligência por longos períodos de tempo.
“O TGR-STA-1030 continua a ser uma ameaça ativa ao governo e à infraestrutura crítica em todo o mundo. O grupo tem como alvo principal os ministérios e departamentos governamentais para fins de espionagem”, concluiu. “Avaliamos que dá prioridade aos esforços contra países que estabeleceram ou estão a explorar certas parcerias económicas”.
"
Além disso, a equipa de hackers foi observada a realizar um reconhecimento ativo contra infraestruturas governamentais associadas a 155 países entre novembro e dezembro de 2025. Algumas das entidades que foram comprometidas com sucesso incluem cinco entidades de aplicação da lei/controlo de fronteiras a nível nacional, três ministérios das finanças e outros ministérios governamentais, e departamentos que se alinham com funções económicas, comerciais, de recursos naturais e diplomáticas.
A atividade está sendo monitorada pela empresa de segurança cibernética sob o apelido TGR-STA-1030, onde “TGR” significa grupo de ameaça temporária e “STA” refere-se a motivação apoiada pelo Estado. As evidências mostram que o ator da ameaça está ativo desde janeiro de 2024.
Embora o país de origem dos hackers permaneça obscuro, eles são avaliados como sendo de origem asiática, dado o uso de ferramentas e serviços regionais, preferências de configuração de idioma, segmentação consistente com eventos e inteligência de interesse para a região, e seu horário de funcionamento GMT+8.
Descobriu-se que cadeias de ataques aproveitam e-mails de phishing como ponto de partida para induzir os destinatários a clicar em um link que aponta para o serviço de hospedagem de arquivos MEGA, baseado na Nova Zelândia. O link hospeda um arquivo ZIP que contém um executável chamado Diaoyu Loader e um arquivo de zero byte chamado “pic1.png”.
“O malware emprega uma proteção de execução de dois estágios para impedir a análise automatizada de sandbox”, disse a Unidade 42. "Além do requisito de hardware de resolução de tela horizontal maior ou igual a 1440, o exemplo realiza uma verificação de dependência ambiental para um arquivo específico (pic1.png) em seu diretório de execução."
A imagem PNG atua como uma verificação de integridade baseada em arquivo que faz com que o artefato de malware seja encerrado antes de desencadear seu comportamento nefasto caso não esteja presente no mesmo local. Somente depois que essa condição for satisfeita é que o malware verifica a presença de programas específicos de segurança cibernética da Avira ("SentryEye.exe"), Bitdefender ("EPSecurityService.exe"), Kaspersky ("Avp.exe"), Sentinel One ("SentinelUI.exe") e Symantec ("NortonSecurity.exe").
Países alvo do reconhecimento TGR-STA-1030 entre novembro e dezembro de 2025
Atualmente não se sabe por que os agentes da ameaça optaram por procurar apenas uma seleção restrita de produtos. O objetivo final do carregador é baixar três imagens ("admin-bar-sprite.png", "Linux.jpg" e "Windows.jpg") de um repositório GitHub chamado "WordPress", que serve como um canal para a implantação de uma carga útil do Cobalt Strike. A conta GitHub associada ("github[.]com/padeqav") não está mais disponível.
O TGR-STA-1030 também foi observado tentando explorar vários tipos de vulnerabilidades de N dias, afetando um grande número de produtos de software da Microsoft, SAP, Atlassian, Ruijieyi Networks, Commvault e Eyou Email System para obter acesso inicial às redes alvo. Não há evidências que indiquem que o grupo tenha desenvolvido ou aproveitado qualquer exploração de dia zero em seus ataques.
Entre as ferramentas utilizadas pelo agente da ameaça estão estruturas de comando e controle (C2), web shells e utilitários de tunelamento -
Estruturas C2 - Cobalt Strike, VShell, Havoc, Sliver e SparkRAT
Conchas da Web - Behinder, neo-reGeorg e Godzilla
Túneis - GO Simple Tunnel (GOST), Fast Reverse Proxy Server (FRPS) e IOX
É importante notar que o uso dos web shells mencionados acima está frequentemente vinculado a grupos de hackers chineses. Outra ferramenta digna de nota é um rootkit do kernel Linux com o codinome ShadowGuard, que utiliza a tecnologia Extended Berkeley Packet Filter (eBPF) para ocultar detalhes de informações do processo, interceptar chamadas críticas do sistema para ocultar processos específicos de ferramentas de análise do espaço do usuário, como ps, e ocultar diretórios e arquivos chamados "swsecret".
“O grupo aluga e configura rotineiramente seus servidores C2 em infraestrutura de propriedade de uma variedade de provedores VPS legítimos e comumente conhecidos”, disse a Unidade 42. “Para se conectar à infraestrutura C2, o grupo aluga infraestrutura VPS adicional que usa para retransmitir o tráfego.”
O fornecedor de segurança cibernética disse que o adversário conseguiu manter o acesso a várias das entidades afetadas durante meses, indicando esforços para coletar inteligência por longos períodos de tempo.
“O TGR-STA-1030 continua a ser uma ameaça ativa ao governo e à infraestrutura crítica em todo o mundo. O grupo tem como alvo principal os ministérios e departamentos governamentais para fins de espionagem”, concluiu. “Avaliamos que dá prioridade aos esforços contra países que estabeleceram ou estão a explorar certas parcerias económicas”.
"
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #grupo #asiático #apoiado #pelo #estado #tgrsta1030 #viola #70 #entidades #governamentais #e #de #infraestrutura
⚡ Fique ligado: novidades e promoções em breve por aqui! ⚡
Postar um comentário