Pesquisadores de segurança cibernética descobriram hoje novos detalhes de ataques a bebedouros contra a comunidade curda na Síria e na Turquia para fins de vigilância e exfiltração de informações.
A ameaça persistente avançada por trás da operação, chamada StrongPity , foi reformulada com novas táticas para controlar máquinas comprometidas, disse a empresa de segurança cibernética Bitdefender em um relatório compartilhado.
"Usando táticas de watering hole para infectar seletivamente vítimas e implantando uma infraestrutura de C&C de três camadas para frustrar investigações forenses, o grupo APT utilizou ferramentas populares Trojanizadas, como arquivadores, aplicativos de recuperação de arquivos, aplicativos de conexões remotas, utilitários e até software de segurança, para abrangem uma ampla gama de opções que as vítimas-alvo podem estar buscando ", disseram os pesquisadores. Com os carimbos de data e hora das amostras de malware analisadas usadas na campanha coincidindo com a ofensiva turca no nordeste da Síria (codinome Operação Primavera da Paz ) em outubro passado, a Bitdefender disse que os ataques poderiam ter sido motivados politicamente.
Usando instaladores contaminados para eliminar o malware
O StrongPity (ou Promethium ) foi divulgado publicamente pela primeira vez em outubro de 2016, após ataques contra usuários na Bélgica e na Itália que usavam lacunas para fornecer versões maliciosas dos softwares de criptografia de arquivos WinRAR e TrueCrypt.
Desde então, o APT foi vinculado a uma operação de 2018 que abusou da rede da Türk Telekom para redirecionar centenas de usuários na Turquia e na Síria para versões maliciosas do StrongPity de software autêntico.
Assim, quando os usuários visados tentam baixar um aplicativo legítimo no site oficial, um ataque de watering hole ou um redirecionamento HTTP são realizados para comprometer os sistemas.
Em julho passado, a AT&T Alien Labs encontrou evidências de uma nova campanha de spyware que explorava versões trojanizadas do software de gerenciamento de roteador WinBox e do arquivador de arquivos WinRAR para instalar o StrongPity e se comunicar com a infraestrutura adversária.
O novo método de ataque identificado pelo Bitdefender permanece o mesmo: vítimas-alvo na Turquia e na Síria usando lista de IP predefinida, aproveitando instaladores adulterados - incluindo McAfee Security Scan Plus, Recuva, TeamViewer, WhatsApp e CCleaner do Piriform - hospedados em agregados e compartilhadores de software localizados.
"Curiosamente, todos os arquivos investigados referentes aos aplicativos contaminados parecem ter sido compilados de segunda a sexta-feira, durante as 9 às 6 UTC + 2 horas de trabalho normais", disseram os pesquisadores. "Isso reforça a idéia de que o StrongPity poderia ser uma equipe de desenvolvedores patrocinada e organizada, paga para entregar certos 'projetos'."
Depois que o conta-gotas de malware é baixado e executado, o backdoor é instalado, o que estabelece comunicação com um servidor de comando e controle para a exfiltração de documentos. e para recuperar comandos a serem executados.
Ele também implementa um componente "Pesquisador de Arquivos" na máquina da vítima que percorre todas as unidades e procura por arquivos com extensões específicas (por exemplo, documentos do Microsoft Office) a serem exfiltrados na forma de um arquivo ZIP.
Esse arquivo ZIP é então dividido em vários arquivos criptografados ".sft" ocultos, enviados ao servidor C&C e, finalmente, excluídos do disco para cobrir qualquer faixa da exfiltração.
Expandindo além da Síria e da Turquia
Embora a Síria e a Turquia possam ser seus alvos recorrentes, o agente de ameaças por trás do StrongPity parece estar expandindo sua vitimologia para infectar usuários na Colômbia, Índia, Canadá e Vietnã usando versões contaminadas do Firefox, VPNpro, DriverPack e 5kPlayer.
Chamando-o de StrongPity3, os pesquisadores da Cisco Talos descreveram ontem um kit de ferramentas de malware em evolução que emprega um módulo chamado "winprint32.exe" para iniciar a pesquisa de documentos e transmitir os arquivos coletados. Além disso, o falso instalador do Firefox também verifica se o software antivírus ESET ou BitDefender está instalado antes de remover o malware.
"Essas características podem ser interpretadas como sinais de que esse ator de ameaça poderia de fato fazer parte de um serviço corporativo de operação de contratação", disseram os pesquisadores. "Acreditamos que isso tem como característica uma solução empacotada profissionalmente devido à semelhança entre cada parte do malware ser extremamente semelhante, mas usada em diferentes alvos com pequenas alterações".
