Hackers do StrongPity atacam a Síria e a Turquia com spyware antigo - Anonymous Hacker

[Latest News][10]

Análise de Vulnerabilidade
ANDROID
ANONYMOUS
ANTI-DDOS
ANTI-SPYWARES E ADWARES
APK PRO
APOSTILAS
CIÊNCIA
CURSO PHP
CURSO TCP / IP
CURSOS
CYBORG
CYBORG FALÇÃO
DDOS
DEEPWEB
DICAS
DOCUMENTARIO
DoS
EXPLOIT
FACEBOOK
Ferramentas de rede
FORENSE DIGITAL
INVASÕES
IPHONE
JOGOS
KALI LINUX
Lixão
MAC OS
Malware
MySQL
NOTÍCIAS
PAGINA FAKE
PHP SCRIPT
Programa De Invasao
PROGRAMAÇÃO
PROGRAMAS
PROXY
SCRIPTS
SEGURANÇA
SHELL
SISTEMA OPERACIONAL
TÉCNICA DE INVASÃO
Termux
VIDEOS
VPN
WHATSAPP
WINDOWS
Wireless Attacks
z=

Hackers do StrongPity atacam a Síria e a Turquia com spyware antigo

Pesquisadores de segurança cibernética descobriram hoje novos detalhes de ataques a bebedouros contra a comunidade curda na Síria e na Turquia para fins de vigilância e exfiltração de informações.


A ameaça persistente avançada por trás da operação, chamada StrongPity , foi reformulada com novas táticas para controlar máquinas comprometidas, disse a empresa de segurança cibernética Bitdefender em um relatório compartilhado.





"Usando táticas de watering hole para infectar seletivamente vítimas e implantando uma infraestrutura de C&C de três camadas para frustrar investigações forenses, o grupo APT utilizou ferramentas populares Trojanizadas, como arquivadores, aplicativos de recuperação de arquivos, aplicativos de conexões remotas, utilitários e até software de segurança, para abrangem uma ampla gama de opções que as vítimas-alvo podem estar buscando ", disseram os pesquisadores. Com os carimbos de data e hora das amostras de malware analisadas usadas na campanha coincidindo com a ofensiva turca no nordeste da Síria (codinome Operação Primavera da Paz ) em outubro passado, a Bitdefender disse que os ataques poderiam ter sido motivados politicamente.





Usando instaladores contaminados para eliminar o malware


O StrongPity (ou Promethium ) foi divulgado publicamente pela primeira vez em outubro de 2016, após ataques contra usuários na Bélgica e na Itália que usavam lacunas para fornecer versões maliciosas dos softwares de criptografia de arquivos WinRAR e TrueCrypt.

Desde então, o APT foi vinculado a uma operação de 2018 que abusou da rede da Türk Telekom para redirecionar centenas de usuários na Turquia e na Síria para versões maliciosas do StrongPity de software autêntico.



Assim, quando os usuários visados ​​tentam baixar um aplicativo legítimo no site oficial, um ataque de watering hole ou um redirecionamento HTTP são realizados para comprometer os sistemas.

Em julho passado, a AT&T Alien Labs encontrou evidências de uma nova campanha de spyware que explorava versões trojanizadas do software de gerenciamento de roteador WinBox e do arquivador de arquivos WinRAR para instalar o StrongPity e se comunicar com a infraestrutura adversária.

O novo método de ataque identificado pelo Bitdefender permanece o mesmo: vítimas-alvo na Turquia e na Síria usando lista de IP predefinida, aproveitando instaladores adulterados - incluindo McAfee Security Scan Plus, Recuva, TeamViewer, WhatsApp e CCleaner do Piriform - hospedados em agregados e compartilhadores de software localizados.

"Curiosamente, todos os arquivos investigados referentes aos aplicativos contaminados parecem ter sido compilados de segunda a sexta-feira, durante as 9 às 6 UTC + 2 horas de trabalho normais", disseram os pesquisadores. "Isso reforça a idéia de que o StrongPity poderia ser uma equipe de desenvolvedores patrocinada e organizada, paga para entregar certos 'projetos'."
Depois que o conta-gotas de malware é baixado e executado, o backdoor é instalado, o que estabelece comunicação com um servidor de comando e controle para a exfiltração de documentos. e para recuperar comandos a serem executados.



Ele também implementa um componente "Pesquisador de Arquivos" na máquina da vítima que percorre todas as unidades e procura por arquivos com extensões específicas (por exemplo, documentos do Microsoft Office) a serem exfiltrados na forma de um arquivo ZIP.

Esse arquivo ZIP é então dividido em vários arquivos criptografados ".sft" ocultos, enviados ao servidor C&C e, finalmente, excluídos do disco para cobrir qualquer faixa da exfiltração.

Expandindo além da Síria e da Turquia


Embora a Síria e a Turquia possam ser seus alvos recorrentes, o agente de ameaças por trás do StrongPity parece estar expandindo sua vitimologia para infectar usuários na Colômbia, Índia, Canadá e Vietnã usando versões contaminadas do Firefox, VPNpro, DriverPack e 5kPlayer.



Chamando-o de StrongPity3, os pesquisadores da Cisco Talos descreveram ontem um kit de ferramentas de malware em evolução que emprega um módulo chamado "winprint32.exe" para iniciar a pesquisa de documentos e transmitir os arquivos coletados. Além disso, o falso instalador do Firefox também verifica se o software antivírus ESET ou BitDefender está instalado antes de remover o malware.

"Essas características podem ser interpretadas como sinais de que esse ator de ameaça poderia de fato fazer parte de um serviço corporativo de operação de contratação", disseram os pesquisadores. "Acreditamos que isso tem como característica uma solução empacotada profissionalmente devido à semelhança entre cada parte do malware ser extremamente semelhante, mas usada em diferentes alvos com pequenas alterações".




Sobre

trabalho com segurança da informação a 13 anos, grande parte desse tempo como professor. Fiz meu bacharelado em ciência da computação, especialização em segurança da informação e logo após, mestrado em ciência da informação.

Nenhum comentário:

Postar um comentário

Start typing and press Enter to search