Evolução preeminente da Operação Terra Kitsune – dneSpy e agfSpy
Pesquisadores da Trend Micro descobriram recentemente uma campanha de watering hole, apelidada de Operation Earth Kitsune, com o objetivo de roubar informações comprometendo sites.
Sobre a campanha
A campanha emprega dois backdoors agfSpy e dneSpy , junto com o malware SLUB (baseado em Slack e GitHub), para dar versatilidade à infraestrutura da campanha e resiliência em seu comportamento.
- Os backdoors agfSpy e dneSpy foram empregados na campanha de exfiltração de dados e apreensão do controle dos sistemas afetados.
- A campanha tem usado elementos de codificação personalizados, como o código de shell do Chrome exploit, e uma variedade de componentes com recursos dinamicamente dinâmicos.
- Os pesquisadores publicaram anteriormente um artigo de pesquisa sobre a Operação Earth Kitsune detalhando o uso pesado de malware SLUB, junto com backdoors de espionagem totalmente funcionais – agfSpy e dneSpy, incluindo a relação entre estes e seus servidores C&C.
Mudando para o mais importante
- Os analistas relataram vários casos de ataques da Operação Earth Kitsune em março, maio e setembro, apresentando uma nova variante do malware SLUB que incorpora novas técnicas e recursos.
- Enquanto o malware foi visto usando as plataformas Slack e GitHub para fins de comunicação em 2019, em ataques recentes, ele foi encontrado usando o Mattermost , uma substituição de versão de código aberto para o Slack.
Conclusão
A implementação de várias técnicas, como verificações de software de segurança durante a implantação de malware, tornou os cibercriminosos por trás da campanha Earth Kitsune mais capazes e altamente ativos. Os especialistas recomendam o uso de uma abordagem de segurança em várias camadas para detectar e impedir que ameaças complexas se infiltrem no sistema.
Fonte: https://cyware.com/news/operation-earth-kitsunes-preeminent-evolutiondnespy-and-agfspy-c4ed5713
