O APT33 coletiva criminoso bem conhecido que foi cuidadosamente alvejando indivíduos e organizações nos EUA, Ásia, e no Oriente Médio, tem tomado cuidado especial para fazer o acompanhamento mais difícil, dizem pesquisadores da Trend Micro.
APT33, que pesquisadores acreditam que está sendo apoiado pelo governo do Irã, tem vindo a utilizar a sua própria rede de nós VPN.
Os domínios de APT33 de comando e controle estão normalmente localizados em proxies hospedados na nuvem que os pedidos de transmissão de URL dos bots infectados para backends em servidores web compartilhados. Esses servidores web poderia estar hospedando milhares de domínios legítimos. assim, o que acontece depois.
De acordo com O relatório da Trend Micro, “os backends relatar dados de volta bot para um servidor agregador de dados e controle de bot que está em um endereço IP dedicado. Os atores APT33 conectar a esses agregadores através de uma rede VPN privada com nós de saída que são alterados com frequência. Os atores APT33 então emitir comandos para os bots e os dados de recolher junto dos bots usando essas conexões VPN.”
Parece que com estas últimas mecanismos de ataque, o coletivo de hackers tem sido alvo principalmente as vítimas do petróleo e indústrias de aviação. A maioria dos ataques deste ano, “Assinado” por APT33 ter usado O lança-phishing comprometer vários alvos.
Vítimas de 2019 de campanhas de malware realizadas pelos atores ameaças incluem um U.S privada. empresa ligada à segurança nacional, indivíduos relacionados a uma universidade e uma faculdade nos EUA, um indivíduo relacionados com a U.S. militares, e algumas outras vítimas no Oriente Médio e na Ásia.
De rede VPN de APT33
atores de ameaças usam frequentemente serviços de VPN comerciais em suas operações, mas a criação de redes privadas é também uma coisa. Isto pode ser facilmente realizado por alugar um par de servidores de centros de dados internacionais.
assim, como foram os pesquisadores capazes de acompanhar esta atividade?
Embora as conexões de redes VPN privadas ainda vêm de endereços IP aparentemente independentes ao redor do mundo, este tipo de tráfego é realmente mais fácil de trilha. Uma vez que sabemos que um nó de saída é principalmente sendo usado por um determinado ator, podemos ter um alto grau de confiança sobre a atribuição das conexões que são feitas a partir dos endereços IP do nó de saída. Por exemplo, além de administrar C&servidores C de um nó privado saída VPN, um ator também poderia estar fazendo o reconhecimento das redes dos alvos.
Os pesquisadores também acreditam que APT33 provavelmente usa seus nós de saída VPN exclusivamente. Trend Micro tem acompanhado alguns dos nós de saída VPN privadas do grupo por mais de um ano, e como resultado, alguns endereços IP relacionados às operações dos hackers foram descobertos.
Além da camada de VPN, os hackers também utiliza uma camada de controlador de bot, uma camada de backend de comando e controle dos servidores usados para gerenciar botnets de malware, e uma camada de proxy, ou um conjunto de servidores proxy nuvem.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: