Especialistas da Mandiant falam sobre uma campanha incomum de malware que afeta alvos no Sudeste Asiático, quando espiões cibernéticos usam dispositivos USB como vetor de penetração inicial.
Os pesquisadores escrevem que vinculam os incidentes descobertos a um grupo que é rastreado sob o codinome UNC4191 (presumivelmente associado à China).
Deixe-me lembrá-lo de que também escrevemos sobre Ramsay malware ataca PCs, que estão isolados do mundo exterior.
Sabe-se que várias organizações dos setores público e privado foram afetadas por ataques de hackers, principalmente no Sudeste Asiático, mas também nos Estados Unidos, Europa, e a região Ásia-Pacífico. Mas antes de tudo, os atacantes estão concentrados nas Filipinas.
Como exatamente os dispositivos USB infectados caíram nas mãos das vítimas, especialistas não especificam. Escusado será dizer, há muitas opções aqui. Por exemplo, no início deste ano, o FBI avisou que os hackers estavam simplesmente enviando dispositivos USB maliciosos pelo correio, esperando a curiosidade dos funcionários das empresas vítimas. Desta maneira, eles procuram infectar os sistemas das organizações e fornecer um ponto de partida para novos ataques. Além disso, a boa e velha dispersão de pen drives em estacionamentos ainda é atual.
Também escrevemos isso Os invasores expuseram a empresa americana a um raro ataque via USB ruim.
Depois de infectar inicialmente os sistemas através de um dispositivo USB, hackers usam binários com assinaturas legítimas para baixar malware nas vítimas’ computadores. Por isso, especialistas identificaram imediatamente três novas famílias de malware, que receberam os nomes MISTCLOAK, DARKDEW e AZULHAZE.
Esses malwares criam um shell reverso no sistema da vítima, essencialmente fornecendo um backdoor para hackers. O malware então começa a se multiplicar por conta própria, infectando quaisquer novas unidades removíveis conectadas a máquinas comprometidas, que permite que malware penetre até mesmo em sistemas isolados de redes e equipamentos externos.
Até aqui, a empresa concluiu que descobriu a operação de um grupo de hackers chinês, cujo objetivo é obter e manter o acesso a organizações públicas e privadas, “a fim de recolher informações relacionadas com os interesses políticos e comerciais da RPC.”
