CactusPete APT ligado à China usando backdoor bisonal atualizado para alvejar militares do Leste Europeu

De acordo com os pesquisadores, o grupo CactusPete normalmente visa dados confidenciais mantidos por organizações diplomáticas, militares e de infraestrutura.

• Em um relatório recente , os pesquisadores revelaram que o grupo está usando uma nova variante da porta dos fundos Bisonal para atingir os setores financeiro e militar localizados na Europa Oriental.
• Eles encontraram mais de 300 amostras quase idênticas, que apareceram entre março de 2019 e abril de 2020, o que resulta em mais de 20 novas amostras por mês.

Como funciona o ataque?

• Os invasores usaram principalmente mensagens de spear-phishing com anexos maliciosos para distribuição de malware. 
• O grupo tem usado algumas vulnerabilidades descobertas recentemente (como CVE-2018-8174 afetando o mecanismo Windows VBScript) e outras abordagens para entregar suas cargas maliciosas.

As táticas do APT

• Além de reconhecer e obter acesso mais profundo a uma rede comprometida, o grupo CactusPete utiliza várias variantes personalizadas do Mimikatz junto com malware de escalonamento de privilégios e keyloggers para fins de coleta de credenciais.
• O adversário também emprega outro malware, como o backdoor DoubleT, junto com ShadowPad, Curious Korlia, CALMTHORNE e DOUBLEPIPE.

Fechando linhas

Embora não seja o grupo APT mais sofisticado, o CactusPete ainda parece relativamente ter algum sucesso nos últimos tempos. De acordo com a Kaspersky, duas coisas por trás de seu sucesso são o uso de código complexo, como o ShadowPad, e a criação de e-mails de phishing confiáveis. O treinamento regular e a conscientização sobre ataques de spear-phishing dentro de uma organização, juntamente com o conjunto certo de ferramentas e processos de segurança em vigor, podem salvar o dia.

Fonte: https://cyware.com/news/china-linked-cactuspete-apt-using-upgraded-bisonal-backdoor-to-target-eastern-european-military-f1b10be3