Evolução preeminente da Operação Terra Kitsune – dneSpy e agfSpy

Pesquisadores da Trend Micro descobriram recentemente uma campanha de watering hole, apelidada de Operation Earth Kitsune, com o objetivo de roubar informações comprometendo sites.

Sobre a campanha

A campanha emprega dois backdoors agfSpy e dneSpy , junto com o malware SLUB (baseado em Slack e GitHub), para dar versatilidade à infraestrutura da campanha e resiliência em seu comportamento.

  • Os backdoors agfSpy e dneSpy foram empregados na campanha de exfiltração de dados e apreensão do controle dos sistemas afetados.
  • A campanha tem usado elementos de codificação personalizados, como o código de shell do Chrome exploit, e uma variedade de componentes com recursos dinamicamente dinâmicos.
  • Os pesquisadores publicaram anteriormente um artigo de pesquisa sobre a Operação Earth Kitsune detalhando o uso pesado de malware SLUB, junto com backdoors de espionagem totalmente funcionais – agfSpy e dneSpy, incluindo a relação entre estes e seus servidores C&C.

Mudando para o mais importante

  • Os analistas relataram vários casos de ataques da Operação Earth Kitsune em março, maio e setembro, apresentando uma nova variante do malware SLUB que incorpora novas técnicas e recursos. 
  • Enquanto o malware foi visto usando as plataformas Slack e GitHub para fins de comunicação em 2019, em ataques recentes, ele foi encontrado usando o Mattermost , uma substituição de versão de código aberto para o Slack.

Conclusão

A implementação de várias técnicas, como verificações de software de segurança durante a implantação de malware, tornou os cibercriminosos por trás da campanha Earth Kitsune mais capazes e altamente ativos. Os especialistas recomendam o uso de uma abordagem de segurança em várias camadas para detectar e impedir que ameaças complexas se infiltrem no sistema.

Fonte: https://cyware.com/news/operation-earth-kitsunes-preeminent-evolutiondnespy-and-agfspy-c4ed5713