Campanha de Malware Modular “Waterbear ” mira o governo de Taiwan

Associado ao grupo de ameaças BlackTech, o malware foi observado utilizando restos de ataques anteriores aos mesmos alvos em abril de 2020 que não haviam sido totalmente erradicados.

Características principais

De acordo com um relatório divulgado por pesquisadores da CyCraft, o malware Waterbear mais recente apresenta diferentes recursos, permitindo que o carregador Waterbear implante pacotes maliciosos adicionais. 

• A campanha aproveitou uma vulnerabilidade em uma ferramenta comum e confiável de Prevenção de Perda de Dados (DLP) para carregar malware Waterbear, executar sequestro de DLL e disparar furtivamente o malware de próximo estágio.
• Com uma técnica de evasão antivírus de uma década conhecida como Heaven’s Gate, os invasores têm conseguido enganar o Windows para ocultar e contornar os comportamentos de rede do Waterbear dos mecanismos de segurança.
• Além disso, os invasores usaram o tamanho binário ampliado para contornar os protocolos de varredura, forçaram o descarregamento de DLLs para ofuscar o malware e preencheram a memória com conteúdo Kernel32 para confundir as análises.
• O ator da ameaça aproveitou o Windows IKEEXT Service e serviços de sistema como Winmgmt, System Event Notification Service (SENS), Wuauserv e LanmanServer em seus ataques.

Alvos recentes da BlackTech

BlackTech, também conhecido como o grupo Palmerworm, é conhecido por ter como alvo empresas de tecnologia e entidades governamentais em Taiwan, Japão e Hong Kong.

• Em setembro , o grupo usou um conjunto totalmente novo de malware personalizado para direcionar organizações nos setores de mídia, construção, engenharia, eletrônicos e finanças no Japão, Taiwan, Estados Unidos e China.
• Em agosto , a BlackTech tinha como alvo pelo menos dez agências governamentais e cerca de 6.000 contas de e-mail de funcionários do governo foram infiltradas para roubar dados confidenciais do governo de Taiwan e empresas de tecnologia.

Soluções preventivas

Com melhores recursos de furtividade, as chances de sucesso de campanhas de malware aumentam. Os especialistas aconselham adicionar IOCs listados para criar listas negras para soluções de detecção e resposta. Recomenda-se que organizações e usuários usem soluções de firewalls, antivírus e DLP, bem como soluções de detecção e resposta baseadas em IA para aumentar a eficiência do SOC, automatizar investigações e reduzir a fadiga de alerta.

Fonte: https://cyware.com/news/waterbear-modular-malware-campaign-lashes-out-at-taiwanese-government-52b47016