Blackgear é uma campanha de espionagem cibernética previamente detectado que remonta a 2008. O malware tem sido conhecido por organizações alvo no Japão, Coréia do Sul e Taiwan, com as metas sendo principalmente órgãos do setor público e empresas de alta tecnologia.
De acordo com relatórios da Trend Micro de 2016, as campanhas de malware foram direcionadas a organizações japonesas onde várias ferramentas de malware foram implantadas, como o Elirks Backdoor. Os ataques contínuos e a persistência das campanhas Blackgear apontam que os operadores cibercriminosos estão bem organizados e desenvolveram suas próprias ferramentas que são atualizadas periodicamente e "ajustadas", conforme observado em um recente relatório de segurança cibernética relatório.
Características Maliciosas do Blackgear
“Uma característica notável do Blackgear é o grau em que seus ataques são levados para evitar a detecção, abusar de blogs, microblogging, e serviços de mídia social para ocultar seu comando e controle (C&C) configuração“, Trend Micro disse. esta técnica, que é diferente da prática usual de incorporar os detalhes de comando e controle dentro do malware ajuda os operadores maliciosos a mudar rapidamente seus C&Servidores C sempre que necessário. Essa tática inteligente permite que os criminosos executem suas campanhas pelo tempo que desejarem.
Pelo visto, Blackgear tem usado o downloader Marade junto com uma versão do Protux em suas últimas operações. Ao analisar essas amostras maliciosas, os pesquisadores encontraram suas configurações criptografadas em postagens de blogs e mídias sociais, o que pode ser uma indicação de que as ferramentas de malware foram criadas pela mesma gangue do crime cibernético.
Para entender melhor o funcionamento dos mais recentes ataques Blackgear, os pesquisadores correlacionaram as ferramentas e práticas que os criminosos usaram contra seus alvos. Aqui está como a cadeia de ataque do Blackgear gira em torno:
- Os invasores usam um documento falso ou um arquivo de instalação falso, que é espalhado por meio de e-mail de spam para enganar uma vítima em potencial, fazendo-a interagir com seu conteúdo malicioso.
- O documento isca é definido para extrair o downloader Marade que se deixa cair na pasta Temp da máquina, aumentando o tamanho do arquivo para mais de 50 MB e contornando as soluções sandbox tradicionais.
- Em seguida, Marade verifica se o host infectado pode se conectar à Internet e se ele está instalado com um programa antivírus.
- Caso o host afetado possa se conectar à Internet e não tenha nenhuma proteção AV, Marade continua conectando-se a um blog público controlado por Blackgear (ou postagem nas redes sociais) para rastrear um comando criptografado e configuração de controle. Caso não haja conexão com a internet, o malware usará o C&Detalhes C embutidos em seu código.
- As strings criptografadas servem como um link magnético para evitar que seu tráfego malicioso seja detectado por programas AV. Então, Marade irá descriptografar as strings criptografadas e recuperar o C&Informação do servidor C.
- O próximo passo é a implantação do backdoor do Protux. O C&O servidor C irá enviar Protux para a máquina afetada e irá executá-lo. Protux é executado abusando da biblioteca de vínculo dinâmico rundll32 (DLL). Ele testa a rede do host, recupera o C&Servidor C de outro blog, e usa o algoritmo RSA para gerar a chave de sessão e enviar informações para o C&servidor C, os pesquisadores explicaram.
- Finalmente, As ferramentas de malware da Blackgear são entregues a sistemas direcionados por meio de um executável de extração automática RAR (SFX) arquivos ou Office Visual Basic Script (VBScript) para criar um documento chamariz.
O escopo das campanhas Blackgear
Blackgear está ativo há pelo menos uma década, visando várias indústrias em ataques secretos. O poder do malware parece resultar da maneira como ele pode escapar do software de segurança tradicional. Uma dessas técnicas é a implantação de dois estágios de infecção para cada ataque.
Porque a primeira fase envolve apenas perfis e reconhecimento, é muito possível que o alvo não seja capaz de perceber as intrusões. Pode não haver sinais de intrusão, mesmo depois que a porta dos fundos é inserida com sucesso no sistema alvo, pois os autores do Blackgear usam microblogging e serviços de mídia social para recuperar C&Informação C.
De acordo com os pesquisadores, Os ataques da Blackgear exemplificam a necessidade das organizações desenvolverem e implementarem estratégias de segurança que possam responder de forma proativa a ameaças e crimes cibernéticos. Uma dessas estratégias inclui uma estratégia de caça a ameaças, onde os indicadores de ataque podem ser facilmente validados para determinar se as intrusões são tentativas únicas ou parte de uma campanha maior.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: