📰 Informação fresquinha chegando para você!
Sua opinião é importante: leia e participe!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Um grupo de crimes cibernéticos de língua chinesa expandiu a sua segmentação para o espaço europeu, implantando malware anteriormente não documentado e o backdoor Atlas.
Rastreado como TA4922, o ator da ameaça está associado a ataques com motivação financeira destinados a violar redes alvo para fraude, roubo de dados e venda de acesso.
O TA4922 já tinha como alvo organizações no Leste Asiático, mas campanhas recentes concentraram-se em entidades na Alemanha, Itália, Reino Unido e África do Sul.
Pesquisadores da empresa de segurança cibernética Proofpoint observam que as ações do TA4922 se sobrepõem às atividades relatadas anteriormente como ‘Silver Fox’ e ‘Void Arachne. No entanto, o cluster de atividades é rastreado separadamente, pois é mais consistente com crimes cibernéticos do que com espionagem.
Desde março, a atividade do TA4922 aumentou acentuadamente e, desde abril, demonstrou uma diversidade operacional sem precedentes e um ritmo acelerado.
“Atualmente, o TA4922 conduz mais campanhas exclusivas do que qualquer outro ator de ameaça de crime cibernético rastreado nos dados de ameaças da Proofpoint, demonstrando alto ritmo operacional, uma variedade de iscas e múltiplos objetivos”, afirma a Proofpoint em um relatório hoje.
“Embora o ator seja avaliado como motivado financeiramente, as capacidades do malware incluem o potencial de vigilância, que pode ser usado ou vendido a grupos de espionagem.”
O invasor usa iscas de phishing localizadas, criadas para aparecer como avisos de folha de pagamento, auditorias fiscais, declarações de IVA, avisos de conformidade governamental, faturas e comunicações de recursos humanos.
O grupo de ameaças também tenta entrar em contato com as vítimas via WhatsApp, mensageiro LINE e Microsoft Teams.
Isca alemãFonte: Proofpoint
Atlas RAT e carregadores personalizados
A Proofpoint relata que o TA4922 expandiu significativamente seu arsenal de malware e acredita que os hackers podem estar usando modelos de linguagem grande (LLMs) para acelerar o desenvolvimento de malware.
Esta conclusão é baseada na presença de valores de espaço reservado, comentários de código e padrões comumente associados ao código gerado por IA.
O relatório da Proofpoint destaca o Atlas RAT, um trojan de acesso remoto recentemente identificado que oferece aos invasores os seguintes recursos:
Reconhecimento do sistema
Roubo de arquivos direcionado
Downloads de plug-ins e carga útil
Registro de teclas
Captura de tela
Gravação de áudio e webcam
Comandos de desligamento/reinicialização do sistema
O malware apresenta várias verificações anti-sandbox e anti-análise, incluindo a procura de nomes de usuário e chaves de registro associadas ao Microsoft Defender Application Guard, ao serviço “CExecSvc” e ao UUID do sistema operacional.
Verificações realizadas pelo carregador Atlas RATFonte: Proofpoint
Os pesquisadores também descobriram um novo carregador de malware chamado RomulusLoader, que baixa e executa cargas adicionais usando esvaziamento de processo, injeção de shellcode e execução direta.
RomulusLoader foi implantado para lançar ferramentas legítimas de gerenciamento remoto, como AnyDesk e SyncFuture, uma ferramenta de software de monitoramento remoto popular na China. Estranhamente, este último foi usado em ataques contra entidades alemãs.
Visão geral da operação RomulusLoaderFonte: Proofpoint
A Proofpoint também identificou um carregador e ladrão de informações baseado em Python chamado SilentRunLoader, que rouba credenciais, cookies e dados de navegação do Google Chrome.
Esse malware foi implantado contra organizações no Reino Unido e no Sudeste Asiático, usando iscas que se faziam passar por serviços governamentais.
Finalmente, os pesquisadores detectaram a implantação do Winos4.0, uma família de malware previamente documentada que a Proofpoint rastreia como ValleyRAT e que fornece às operadoras um conjunto completo de recursos de acesso remoto.
De acordo com a Proofpoint, o TA4922 é responsável por “mais campanhas exclusivas” do que qualquer outro ator de ameaça que a empresa rastreia. O grupo está se movendo rapidamente e usa múltiplas iscas.
Segundo os pesquisadores, as capacidades do malware utilizado por este ator têm “potencial de vigilância que pode ser usado ou vendido a grupos de espionagem”.
O relatório da Proofpoint inclui indicadores de comprometimento do malware e da infraestrutura de comando e controle (C2) usada nos ataques do TA4922.
Teste todas as camadas antes que os invasores o façam
As equipes de segurança registram 54% dos ataques bem-sucedidos e alertam sobre apenas 14%. O restante se move pelo seu ambiente sem ser visto. O whitepaper do Picus mostra como a simulação de violação e ataque testa suas regras de SIEM e EDR para que as ameaças parem de escapar da detecção.
Obtenha o white paper
Rastreado como TA4922, o ator da ameaça está associado a ataques com motivação financeira destinados a violar redes alvo para fraude, roubo de dados e venda de acesso.
O TA4922 já tinha como alvo organizações no Leste Asiático, mas campanhas recentes concentraram-se em entidades na Alemanha, Itália, Reino Unido e África do Sul.
Pesquisadores da empresa de segurança cibernética Proofpoint observam que as ações do TA4922 se sobrepõem às atividades relatadas anteriormente como ‘Silver Fox’ e ‘Void Arachne. No entanto, o cluster de atividades é rastreado separadamente, pois é mais consistente com crimes cibernéticos do que com espionagem.
Desde março, a atividade do TA4922 aumentou acentuadamente e, desde abril, demonstrou uma diversidade operacional sem precedentes e um ritmo acelerado.
“Atualmente, o TA4922 conduz mais campanhas exclusivas do que qualquer outro ator de ameaça de crime cibernético rastreado nos dados de ameaças da Proofpoint, demonstrando alto ritmo operacional, uma variedade de iscas e múltiplos objetivos”, afirma a Proofpoint em um relatório hoje.
“Embora o ator seja avaliado como motivado financeiramente, as capacidades do malware incluem o potencial de vigilância, que pode ser usado ou vendido a grupos de espionagem.”
O invasor usa iscas de phishing localizadas, criadas para aparecer como avisos de folha de pagamento, auditorias fiscais, declarações de IVA, avisos de conformidade governamental, faturas e comunicações de recursos humanos.
O grupo de ameaças também tenta entrar em contato com as vítimas via WhatsApp, mensageiro LINE e Microsoft Teams.
Isca alemãFonte: Proofpoint
Atlas RAT e carregadores personalizados
A Proofpoint relata que o TA4922 expandiu significativamente seu arsenal de malware e acredita que os hackers podem estar usando modelos de linguagem grande (LLMs) para acelerar o desenvolvimento de malware.
Esta conclusão é baseada na presença de valores de espaço reservado, comentários de código e padrões comumente associados ao código gerado por IA.
O relatório da Proofpoint destaca o Atlas RAT, um trojan de acesso remoto recentemente identificado que oferece aos invasores os seguintes recursos:
Reconhecimento do sistema
Roubo de arquivos direcionado
Downloads de plug-ins e carga útil
Registro de teclas
Captura de tela
Gravação de áudio e webcam
Comandos de desligamento/reinicialização do sistema
O malware apresenta várias verificações anti-sandbox e anti-análise, incluindo a procura de nomes de usuário e chaves de registro associadas ao Microsoft Defender Application Guard, ao serviço “CExecSvc” e ao UUID do sistema operacional.
Verificações realizadas pelo carregador Atlas RATFonte: Proofpoint
Os pesquisadores também descobriram um novo carregador de malware chamado RomulusLoader, que baixa e executa cargas adicionais usando esvaziamento de processo, injeção de shellcode e execução direta.
RomulusLoader foi implantado para lançar ferramentas legítimas de gerenciamento remoto, como AnyDesk e SyncFuture, uma ferramenta de software de monitoramento remoto popular na China. Estranhamente, este último foi usado em ataques contra entidades alemãs.
Visão geral da operação RomulusLoaderFonte: Proofpoint
A Proofpoint também identificou um carregador e ladrão de informações baseado em Python chamado SilentRunLoader, que rouba credenciais, cookies e dados de navegação do Google Chrome.
Esse malware foi implantado contra organizações no Reino Unido e no Sudeste Asiático, usando iscas que se faziam passar por serviços governamentais.
Finalmente, os pesquisadores detectaram a implantação do Winos4.0, uma família de malware previamente documentada que a Proofpoint rastreia como ValleyRAT e que fornece às operadoras um conjunto completo de recursos de acesso remoto.
De acordo com a Proofpoint, o TA4922 é responsável por “mais campanhas exclusivas” do que qualquer outro ator de ameaça que a empresa rastreia. O grupo está se movendo rapidamente e usa múltiplas iscas.
Segundo os pesquisadores, as capacidades do malware utilizado por este ator têm “potencial de vigilância que pode ser usado ou vendido a grupos de espionagem”.
O relatório da Proofpoint inclui indicadores de comprometimento do malware e da infraestrutura de comando e controle (C2) usada nos ataques do TA4922.
Teste todas as camadas antes que os invasores o façam
As equipes de segurança registram 54% dos ataques bem-sucedidos e alertam sobre apenas 14%. O restante se move pelo seu ambiente sem ser visto. O whitepaper do Picus mostra como a simulação de violação e ataque testa suas regras de SIEM e EDR para que as ameaças parem de escapar da detecção.
Obtenha o white paper
#samirnews #samir #news #boletimtec #hackers #chineses #usam #novo #malware #atlas #rat #em #ataques #cibernéticos #europeus
🚀 Mais conteúdos incríveis estão por vir, fique atento!
Postar um comentário