Grupo Iraniano de Ataque Cibernético implanta novo downloader PowGoop contra alvos do Oriente Médio
O Seedworm Group, também conhecido como MuddyWater, também está implantando ransomware de commodities como parte de ataques de espionagem a empresas e agências governamentais na região do Oriente Médio.
O Seedworm Group, também conhecido como MuddyWater, também está implantando ransomware de commodities como parte de ataques de espionagem a empresas e agências governamentais na região do Oriente Médio.
O uso do programa malicioso não indica necessariamente uma mudança para o crime cibernético baseado em ransomware para o grupo, mas sim a adoção de uma ampla variedade de táticas para combater medidas defensivas, disse Vikram Thakur, diretor técnico da Symantec.
“Olhando para a história do Seedworm, é evidente que eles estiveram focados em organizações governamentais baseadas no Oriente Médio por anos”, disse ele. “Nós … não acreditamos que eles estejam diretamente focados no ganho monetário. Do nosso ponto de vista, as organizações vítimas de Thanos [representam] muito poucos [alvos] – apenas um punhado no máximo.”
A análise da Symantec faz parte da tentativa do setor de segurança de atribuir táticas, técnicas e procedimentos (TTPs) específicos a grupos adversários específicos. Embora o Thanos ransomware seja um programa de commodities oferecido para venda em fóruns clandestinos, o programa backdoor PowGoop para download de scripts é um software personalizado feito pelo grupo, afirmou a Symantec em sua análise. A empresa publicou mais de 30 indicadores de comprometimento na análise, cerca de metade dos quais relacionados ao PowGoop.
Os pesquisadores estavam apenas moderadamente confiantes, entretanto, em atribuir o PowGoop ao ator estatal iraniano.
“Seedworm tem sido um dos grupos ligados ao Irã mais ativos nos últimos meses, montando aparentemente operações de coleta de inteligência em todo o Oriente Médio”, afirmaram os pesquisadores da Symantec em sua análise . “Embora a conexão entre PowGoop e Seedworm permaneça provisória, pode sugerir alguma reformulação por parte de Seedworm. Qualquer organização que encontre evidências de PowGoop em suas redes deve exercer extrema cautela e realizar uma investigação completa.”
PowGoop parece fazer parte do desenvolvimento do grupo Seedworm de um conjunto de ferramentas personalizadas para comprometer alvos e estender sua infiltração em redes. A biblioteca vinculada dinamicamente é instalada por uma ferramenta de execução remota, conhecida como Remadmin, muitas vezes se passando por um arquivo de atualização do Google. O software decodifica scripts do PowerShell e os executa, permitindo que os invasores se movam lateralmente por uma rede após o comprometimento inicial.
“Não há nada sofisticado no PowGoop além de ser feito sob medida e usar várias camadas de scripts PowerShell codificados para baixar e executar cargas úteis baseadas em PS com eficácia”, diz Thakur.
O PowGoop também foi detectado por outras empresas. A empresa de segurança Palo Alto Networks vinculou o PowGoop a dois ataques de ransomware contra empresas no Oriente Médio e no Norte da África no início de setembro .
Além disso, a empresa confirmou avistamentos do ransomware Thanos detectados pela empresa de inteligência de ameaças Recorded Future em fevereiro. Os desenvolvedores do programa de ransomware o anunciaram para venda em fóruns clandestinos, provavelmente significando que o ransomware será usado por vários grupos, afirmaram as empresas. A análise da Palo Alto Networks concluiu, no entanto, que o ransomware é frequentemente usado por seus recursos destrutivos.
“A parte interessante da substituição do MBR [registro mestre de inicialização] nesta amostra específica é que ele não funciona corretamente, o que pode ser atribuído a um erro de programação ou a mensagem personalizada incluído pelo ator,” Palo Alto Networks declarados em sua análise . “Confirmamos que, depois de alterar esse único caractere, a funcionalidade de substituição do MBR funciona, o que resulta na exibição a seguir, em vez da inicialização correta do Windows.”
Alterar conjuntos de ferramentas e ataques destrutivos são táticas comuns para confundir atribuição e resposta lenta a incidentes. Essas contramedidas se tornaram cada vez mais comuns, com 82% dos engajamentos de resposta a incidentes (IR) incluindo táticas de contra-IR e 54% utilizando elementos destrutivos para resposta lenta, de acordo com um novo relatório da empresa de segurança VMware Carbon Black . Além disso, metade de todos os ataques usam malware personalizado – da mesma forma que o Seedworm usa o PowGoop – afirma o relatório.
Embora Seedworm não pareça estar envolvido em ataques nas eleições dos EUA, isso continua sendo uma preocupação entre os respondentes do incidente, com o Irã, com 19%, o terceiro agressor mais preocupante, atrás da Rússia (58%) e da Coreia do Norte (27%) .
