⚡ Não perca: notícia importante no ar! ⚡
Não deixe essa passar: clique e saiba tudo!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Pesquisadores de segurança cibernética descobriram um novo malware baseado em Lua, criado anos antes do notório worm Stuxnet, que visava sabotar o programa nuclear do Irã, destruindo centrífugas de enriquecimento de urânio.
De acordo com um novo relatório publicado pela SentinelOne, a estrutura de sabotagem cibernética, anteriormente não documentada, remonta a 2005, visando principalmente software de cálculo de alta precisão para alterar os resultados. Foi codinome fast16.
“Ao combinar esta carga útil com mecanismos de autopropagação, os atacantes pretendem produzir cálculos imprecisos equivalentes em toda uma instalação”, disseram os investigadores Vitaly Kamluk e Juan Andrés Guerrero-Saade num relatório exaustivo publicado esta semana.
Avalia-se que o Fast16 é anterior ao Stuxnet, a primeira arma digital conhecida projetada para ações disruptivas e que serviu de base para o rootkit ladrão de informações Duqu, em pelo menos cinco anos. Acredita-se que o Stuxnet tenha sido desenvolvido pelos EUA e Israel.
Ele também precede as primeiras amostras conhecidas do Flame (também conhecido como Flamer e Skywiper), outro malware sofisticado que foi descoberto em 2012, incorporando uma máquina virtual Lua para atingir seus objetivos. A descoberta torna o fast16 o primeiro tipo de malware do Windows a incorporar um mecanismo Lua.
O SentinelOne disse que fez a descoberta depois de identificar um artefato chamado “svcmgmt.exe” que, à primeira vista, parecia ser um wrapper genérico de serviço no modo console. A amostra tem um carimbo de data/hora de criação de arquivo de 30 de agosto de 2005, por VirusTotal, para o qual foi carregado mais de uma década depois, em 8 de outubro de 2016.
No entanto, uma investigação mais profunda revelou uma máquina virtual Lua 5.0 incorporada e um contêiner de bytecode criptografado, juntamente com vários outros módulos que se ligam diretamente ao sistema de arquivos do Windows NT, registro, controle de serviço e APIs de rede.
A lógica central do implante reside no bytecode Lua, com o binário também referenciando um driver de kernel ("fast16.sys") por meio de um caminho PDB - um arquivo com data de criação em 19 de julho de 2005 - que é responsável por interceptar e modificar o código executável conforme ele é lido no disco. Dito isto, é importante notar que o driver não funcionará em sistemas com Windows 7 ou posterior.
No que é uma descoberta que pode dar uma indicação das origens da ferramenta, o SentinelOne disse que descobriu uma referência à string “fast16” em um arquivo de texto chamado “drv_list.txt” que incluía uma lista de drivers projetados para uso em ataques avançados de ameaças persistentes (APT). O arquivo de quase 250 KB foi vazado por um misterioso grupo de hackers há nove anos.
Em 2016 e 2017, o coletivo – que se autodenomina The Shadow Brokers – publicou vastos tesouros de dados supostamente roubados do Equation Group, um grupo avançado de ameaças persistentes com suspeitas de ligações com a Agência de Segurança Nacional (NSA) dos EUA. Isso incluiu um conjunto de ferramentas de hacking e explorações sob o apelido de “Lost in Translation”. O arquivo de texto era um deles.
“A string dentro de svcmgmt.exe forneceu o link forense chave nesta investigação”, disse SentinelOne. "O caminho do PDB conecta o vazamento de assinaturas de desconflição de 2017 usadas pelos operadores da NSA com um módulo 'portador' multimodal alimentado por Lua compilado em 2005 e, em última análise, sua carga furtiva: um driver de kernel projetado para sabotagem de precisão."
"Svcmgmt.exe" foi descrito como um "módulo transportador altamente adaptável" que pode alterar seu comportamento com base nos argumentos de linha de comando passados a ele, permitindo que ele seja executado como um serviço do Windows ou execute código Lua. Ele vem com três cargas distintas: bytecode Lua para lidar com configuração e lógica de propagação e coordenação, um ConnotifyDLL auxiliar ("svcmgmt.dll") e o driver de kernel "fast16.sys".
Especificamente, ele foi projetado para analisar a configuração, escalar-se como um serviço, opcionalmente implantar o implante do kernel e lançar um wormlet Service Control Manager (SCM) que verifica servidores de rede e propaga o malware para outros ambientes Windows 2000/XP com credenciais fracas ou padrão.
Um aspecto importante que vale a pena mencionar aqui é que a propagação só ocorre quando é forçada manualmente ou quando produtos de segurança comuns não são encontrados no sistema, verificando o banco de dados do Registro do Windows em busca de chaves de registro associadas. Algumas das ferramentas de segurança que verifica explicitamente pertencem a Agnitum, F-Secure, Kaspersky, McAfee, Microsoft, Symantec, Sygate Technologies e Trend Micro.
A presença da Sygate Technologies é outro indicador de que a amostra foi desenvolvida em meados dos anos 2000, já que a empresa foi adquirida pela Symantec, hoje parte da Broadcom, em agosto de 2025, e as vendas e suporte para seus produtos foram formalmente descontinuados em novembro.
“Para ferramentas desta idade, esse nível de consciência ambiental é notável”, disse SentinelOne. "Embora a lista de produtos possa não parecer abrangente, ela provavelmente reflete os produtos que a operação
De acordo com um novo relatório publicado pela SentinelOne, a estrutura de sabotagem cibernética, anteriormente não documentada, remonta a 2005, visando principalmente software de cálculo de alta precisão para alterar os resultados. Foi codinome fast16.
“Ao combinar esta carga útil com mecanismos de autopropagação, os atacantes pretendem produzir cálculos imprecisos equivalentes em toda uma instalação”, disseram os investigadores Vitaly Kamluk e Juan Andrés Guerrero-Saade num relatório exaustivo publicado esta semana.
Avalia-se que o Fast16 é anterior ao Stuxnet, a primeira arma digital conhecida projetada para ações disruptivas e que serviu de base para o rootkit ladrão de informações Duqu, em pelo menos cinco anos. Acredita-se que o Stuxnet tenha sido desenvolvido pelos EUA e Israel.
Ele também precede as primeiras amostras conhecidas do Flame (também conhecido como Flamer e Skywiper), outro malware sofisticado que foi descoberto em 2012, incorporando uma máquina virtual Lua para atingir seus objetivos. A descoberta torna o fast16 o primeiro tipo de malware do Windows a incorporar um mecanismo Lua.
O SentinelOne disse que fez a descoberta depois de identificar um artefato chamado “svcmgmt.exe” que, à primeira vista, parecia ser um wrapper genérico de serviço no modo console. A amostra tem um carimbo de data/hora de criação de arquivo de 30 de agosto de 2005, por VirusTotal, para o qual foi carregado mais de uma década depois, em 8 de outubro de 2016.
No entanto, uma investigação mais profunda revelou uma máquina virtual Lua 5.0 incorporada e um contêiner de bytecode criptografado, juntamente com vários outros módulos que se ligam diretamente ao sistema de arquivos do Windows NT, registro, controle de serviço e APIs de rede.
A lógica central do implante reside no bytecode Lua, com o binário também referenciando um driver de kernel ("fast16.sys") por meio de um caminho PDB - um arquivo com data de criação em 19 de julho de 2005 - que é responsável por interceptar e modificar o código executável conforme ele é lido no disco. Dito isto, é importante notar que o driver não funcionará em sistemas com Windows 7 ou posterior.
No que é uma descoberta que pode dar uma indicação das origens da ferramenta, o SentinelOne disse que descobriu uma referência à string “fast16” em um arquivo de texto chamado “drv_list.txt” que incluía uma lista de drivers projetados para uso em ataques avançados de ameaças persistentes (APT). O arquivo de quase 250 KB foi vazado por um misterioso grupo de hackers há nove anos.
Em 2016 e 2017, o coletivo – que se autodenomina The Shadow Brokers – publicou vastos tesouros de dados supostamente roubados do Equation Group, um grupo avançado de ameaças persistentes com suspeitas de ligações com a Agência de Segurança Nacional (NSA) dos EUA. Isso incluiu um conjunto de ferramentas de hacking e explorações sob o apelido de “Lost in Translation”. O arquivo de texto era um deles.
“A string dentro de svcmgmt.exe forneceu o link forense chave nesta investigação”, disse SentinelOne. "O caminho do PDB conecta o vazamento de assinaturas de desconflição de 2017 usadas pelos operadores da NSA com um módulo 'portador' multimodal alimentado por Lua compilado em 2005 e, em última análise, sua carga furtiva: um driver de kernel projetado para sabotagem de precisão."
"Svcmgmt.exe" foi descrito como um "módulo transportador altamente adaptável" que pode alterar seu comportamento com base nos argumentos de linha de comando passados a ele, permitindo que ele seja executado como um serviço do Windows ou execute código Lua. Ele vem com três cargas distintas: bytecode Lua para lidar com configuração e lógica de propagação e coordenação, um ConnotifyDLL auxiliar ("svcmgmt.dll") e o driver de kernel "fast16.sys".
Especificamente, ele foi projetado para analisar a configuração, escalar-se como um serviço, opcionalmente implantar o implante do kernel e lançar um wormlet Service Control Manager (SCM) que verifica servidores de rede e propaga o malware para outros ambientes Windows 2000/XP com credenciais fracas ou padrão.
Um aspecto importante que vale a pena mencionar aqui é que a propagação só ocorre quando é forçada manualmente ou quando produtos de segurança comuns não são encontrados no sistema, verificando o banco de dados do Registro do Windows em busca de chaves de registro associadas. Algumas das ferramentas de segurança que verifica explicitamente pertencem a Agnitum, F-Secure, Kaspersky, McAfee, Microsoft, Symantec, Sygate Technologies e Trend Micro.
A presença da Sygate Technologies é outro indicador de que a amostra foi desenvolvida em meados dos anos 2000, já que a empresa foi adquirida pela Symantec, hoje parte da Broadcom, em agosto de 2025, e as vendas e suporte para seus produtos foram formalmente descontinuados em novembro.
“Para ferramentas desta idade, esse nível de consciência ambiental é notável”, disse SentinelOne. "Embora a lista de produtos possa não parecer abrangente, ela provavelmente reflete os produtos que a operação
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #pesquisadores #descobrem #software #de #engenharia #direcionado #a #malware #préstuxnet #‘fast16’
🚀 Mais conteúdos incríveis estão por vir, fique atento!
Postar um comentário