MontysThree APT esta mostrando seus dentes com o novo kit de ferramentas de malware

Recentemente, o grupo foi encontrado usando novas ferramentas e serviços de nuvem pública legítimos para ataques de espionagem industrial direcionados, o que é raro entre os grupos persistentes avançados.

Vetor de ataque

O grupo de ameaças usa um kit de ferramentas de malware nunca visto antes chamado MT3, que tem um conjunto de módulos C ++, incluindo um carregador, kernel, HttpTransport e LinkUpdate.

• O kit de ferramentas de malware usa esteganografia personalizada e vários esquemas de criptografia, como algoritmos 3DES e RSA.
• Os agentes de ameaças usam um arquivo de extração automática (SFX) dentro do arquivo RAR para espalhar seu módulo de carregamento inicial. O carregador se esconde usando esteganografia.

A técnica operacional

• Os módulos de malware são entregues por meio de e-mails com iscas experientes relacionadas a listas de contatos de funcionários, documentação técnica e resultados de testes médicos para enganar os funcionários da indústria e fazerem o download.
• Além disso, o malware usa um modificador para o Windows Quick Launch para ganhar persistência no sistema infectado, no qual um usuário, sem saber, executa o módulo inicial sempre que executa aplicativos legítimos.

Ataques recentes

Ser alvo de APTs é um pouco raro para organizações industriais. No entanto, vários outros grupos de ameaças foram observados fazendo isso recentemente.

• Recentemente, descobriu-se que uma campanha de ciberespionagem no estilo APT tinha como alvo uma empresa internacional de arquitetura e produção de vídeo por meio de um exploit de MAXScript de terceiros, PhysXPluginMfx.
• Em agosto, hackers russos foram encontrados atacando as redes de fornecedores de infraestrutura crítica e organizações do setor de energia.

Conclusão

Os grupos de ameaça agora estão mudando sua tática e passando de seus alvos tradicionais para entidades industriais. Para combater esses desafios, os especialistas sugerem a implantação de sistemas de prevenção e detecção de intrusões. Além disso, é recomendável aplicar segregação e criptografia de rede para informações confidenciais.

Fonte: https://cyware.com/news/montysthree-apt-showing-its-teeth-with-new-malware-toolkit-32aef459