MontysThree APT tem um objetivo incomum em metas industriais

O recém-descoberto APT é especializado em campanhas de espionagem contra holdings industriais – um alvo raro para spyware.

SAS @ Home 2020 – Uma série de ataques altamente direcionados por um grupo APT chamado MontysThree contra alvos industriais foi descoberta, com evidências de que a campanha remonta a 2018.

Isso é de acordo com pesquisadores da Kaspersky, que observaram que o grupo usa uma variedade de técnicas para evitar a detecção, incluindo o uso de serviços de nuvem pública para comunicações de comando e controle (C2) e ocultando seu principal módulo de espionagem malicioso usando esteganografia.

Ataques de espionagem em propriedades industriais são muito mais incomuns do que campanhas contra diplomatas e outros alvos de estado-nação, de acordo com a empresa.

“Entidades governamentais, diplomatas e operadoras de telecomunicações tendem a ser o alvo preferencial para APTs, uma vez que esses indivíduos e instituições naturalmente possuem uma riqueza de informações altamente confidenciais e politicamente sensíveis”, de acordo com uma análise da Kaspersky, publicada na quinta-feira em conjunto com seu Security virtual Conferência Analyst Summit, SAS @ Home. “Muito mais raras são as campanhas de espionagem direcionada contra entidades industriais – mas, como qualquer outro ataque contra indústrias, podem ter consequências devastadoras para os negócios”.

O APT usa um conjunto de ferramentas que ele chama de MT3, que consiste em módulos separados. O primeiro – o carregador – é inicialmente espalhado usando arquivos RAR autoextraídos (SFX). Estes, enviados por e-mail, contêm iscas inteligentes relacionadas às listas de contato dos funcionários, documentação técnica e análises médicas, para enganar os funcionários da indústria para que baixem os arquivos.

O carregador se ofusca usando a esteganografia, que é a prática de esconder informações eletrônicas dentro das imagens.

“A esteganografia é usada por atores para esconder o fato de que os dados estão sendo trocados”, de acordo com Kaspersky. “No caso do MontysThree, a principal carga maliciosa está disfarçada como um arquivo bitmap. Se o comando correto for inserido, o carregador usará um algoritmo personalizado para descriptografar o conteúdo da matriz de pixels e executar a carga maliciosa. ”

A carga útil principal maliciosa usa várias técnicas de criptografia próprias para escapar da detecção, nomeadamente o uso de um algoritmo RSA para criptografar as comunicações com o servidor de controle e para descriptografar as principais “tarefas” atribuídas pelo malware.

Uma vez instalado, ele começa a pesquisar documentos com extensões específicas (MontysThree foi projetado para direcionar especificamente documentos da Microsoft e Adobe Acrobat) e em diretórios específicos da empresa. Ele também faz capturas de tela e impressões digitais de dispositivos comprometidos, reunindo informações sobre suas configurações de rede, nome do host e assim por diante, para determinar se o alvo é de interesse dos invasores.

Enquanto isso, as comunicações C2 são hospedadas em serviços de nuvem pública como Google, Microsoft e Dropbox, o que, como a Kaspersky apontou, torna o tráfego de comunicações difícil de ser detectado como malicioso.

“Como nenhum antivírus bloqueia esses serviços, ele garante que o servidor de controle possa executar comandos ininterruptamente”, de acordo com a empresa.

MontysThree também usa um método simples para obter persistência no sistema infectado – um modificador para o Windows Quick Launch. Os usuários inadvertidamente executam o módulo inicial do malware sozinhos sempre que executam aplicativos legítimos, como navegadores, ao usar a barra de ferramentas Quick Launch, explicaram os pesquisadores.

“MontysThree é interessante não apenas pelo fato de ter como alvo holdings industriais, mas por causa da combinação de TTPs sofisticados e um tanto amadores”, disse Denis Legezo, pesquisador de segurança sênior da Equipe de Análise e Pesquisa Global da Kaspersky, em uma postagem na quinta-feira. “Em geral, a sofisticação varia de módulo para módulo, mas não pode se comparar ao nível usado pelos APTs mais avançados.”

Apesar dos aspectos menos complexos da campanha, “eles usam padrões criptográficos fortes e, de fato, algumas decisões com experiência em tecnologia são tomadas, incluindo a esteganografia personalizada”, disse Legezo. “Talvez o mais importante seja que está claro que os invasores fizeram um esforço significativo para desenvolver o conjunto de ferramentas MontysThree, sugerindo que eles são determinados em seus objetivos – e que esta não deve ser uma campanha de curta duração.”

No que diz respeito à atribuição, isso permanece um mistério; A Kaspersky não conseguiu encontrar nenhuma semelhança no código malicioso ou na infraestrutura com nenhum APT conhecido.

Os pesquisadores da Kaspersky apresentarão detalhes técnicos sobre o conjunto de ferramentas MontysThree, bem como mais informações sobre direcionamento e outros aspectos da campanha durante o SAS @ Home na quinta-feira; O Threatpost atualizará esta postagem com mais informações à medida que surgirem.

Fonte: https://threatpost.com/montysthree-apt-industrial-targets/159957