Especialistas em segurança relatam que o grupo LuckyMouse Hacking desenvolveu uma nova ameaça maliciosa que usa um padrão de comportamento de infiltração altamente avançado. Este novo cavalo de Tróia LuckyMouse tem a capacidade de infectar redes de alto perfil e é considerado uma infecção crítica.
Ataques do cavalo de Tróia Luckymouse no passado
O grupo de hackers LuckyMouse e sua arma principal, chamada de Trojan LuckyMouse, são um notório coletivo criminoso conhecido por causar campanhas de ataque de alto impacto. Um dos ataques mais conhecidos envolvendo uma iteração anterior do LuckyMouse é o 2018 ataque. O grupo lançou um ataque contra um data center nacional localizado na Ásia Central. Os pesquisadores de segurança descobriram que os criminosos conseguiram acessar a rede restrita e seus recursos governamentais.
Um padrão de comportamento complexo foi observado que foi capaz de contornar todos os sistemas de segurança que foram colocados e configurados para repelir ataques. De acordo com os relatórios divulgados na época após a infecção, os especialistas em segurança mostram que não se sabe qual é o principal mecanismo de infiltração. Suspeita-se que os ataques foram por meio de um documento infectado. Os analistas conseguiram adquirir documentos que incluíam scripts aproveitando o CVE-2017-118822 vulnerabilidade no Microsoft Office. Acredita-se que a interação com ele levou à implantação do dropper de carga útil inicial. A descrição do comunicado é o seguinte:
Microsoft Office 2007 Pacote de serviço 3, Microsoft Office 2010 Pacote de serviço 2, Microsoft Office 2013 Pacote de serviço 1, e Microsoft Office 2016 permitir que um invasor execute código arbitrário no contexto do usuário atual, deixando de manipular objetos na memória adequadamente, aka “Vulnerabilidade de corrupção de memória do Microsoft Office”. Este ID CVE é exclusivo de CVE-2017-11884.
A partir daí, vários proteção discrição módulos para ocultar a infecção de quaisquer serviços de segurança:
- Um módulo de serviço de desktop remoto legítimo que é usado para carregar uma DLL maliciosa.
- Um arquivo DLL que inicia o descompressor do cavalo de Tróia LuckyMouse.
- A instância do descompressor.
Como resultado, a instância do Trojan será implantada nos hosts infectados e conectada aos processos do sistema e aplicativos individuais. Isso permite que os criminosos espionem as vítimas e também redirecionem os usuários para páginas de login falsas, registrar pressionamentos de tecla e movimento do mouse e etc. Neste ataque, os analistas observaram que os criminosos conseguiram injetar uma URL que resultou na entrega de código malicioso.
O resultado final é que os hackers chineses conseguiram se infiltrar em um data center nacional, por todos os padrões, isso é percebido como um risco crítico.
Técnicas de infecção por cavalo de Tróia Luckymouse
Recebemos relatos de uma nova instância do cavalo de Tróia LuckyMouse que parece ser uma versão fortemente modificada de variantes anteriores.
Acredita-se que o grupo seja originário da China, nova evidência disso é o fato de que as cepas fazem uso de assinaturas de segurança de uma empresa chinesa. É um desenvolvedor de software de segurança da informação com sede em Shenzhen. A rota de infecção é um NDISProxy malicioso. Embora possa haver um software legítimo, os hackers criaram sua própria versão usando as assinaturas digitais sequestradas da empresa - ambos em seus 32 e versões de 64 bits. Após a descoberta do incidente, os analistas relataram isso à empresa e ao CN-CERT.
Parece que a distribuição inicial do Trojan LuckyMouse e sua versão de 32 bits começou no final de março 2018. Acredita-se que os hackers usaram redes já infectadas para propagar as ameaças.
Existem vários métodos que os criminosos podem usar para espalhar os arquivos de vírus:
- -mails de phishing - Os hackers podem construir mensagens que se apresentam como notificações legítimas de serviços ou sites da Internet que os usuários receptores podem estar usando. Os arquivos de vírus podem ser anexados diretamente ou vinculados ao conteúdo do corpo.
- payload Carriers - O mecanismo malicioso pode ser incorporado em várias formas, como documentos (de uma forma semelhante aos ataques anteriores) ou instaladores de aplicativos. Os hackers do LuckyMouse podem sequestrar os instaladores de software legítimos de aplicativos conhecidos que os usuários finais costumam usar: utilidades do sistema, suítes de criatividade e soluções de produtividade. Eles podem então ser distribuídos em vários sites, e-mails e outros meios.
- Redes de compartilhamento de arquivos - BitTorrent e outras redes semelhantes, muitas vezes usadas para espalhar conteúdo pirata, também podem ser usadas pelos hackers. Eles podem entregar arquivos de vírus autônomos ou portadores de carga útil.
- Scripts - Os ataques anteriores usaram um padrão de infecção complexo que, em última análise, dependia de um script de implantação final. A instalação do driver pode ser chamada por scripts que podem ser integrados a vários aplicativos ou serviços ou vinculados por meio de páginas da web. Em alguns casos, o comportamento malicioso pode ser observado por meio de elementos comuns, como redirecionamentos, banners, Publicidades, pop-ups e etc.
- Plugins do navegador Web - Plug-ins de navegadores mal-intencionados podem ser programados pelos hackers para espalhar a infecção. Eles geralmente são compatíveis com os navegadores da web mais populares e são enviados para os repositórios relevantes. Eles usam comentários de usuários e credenciais de desenvolvedor falsos, juntamente com uma descrição elaborada, a fim de coagir os usuários a baixá-los. Após a instalação, as vítimas descobrirão que suas configurações podem ser alteradas a fim de redirecionar para um site controlado por hacker. O Trojan LuckyMouse será instalado automaticamente.
O cavalo de Tróia Luckymouse tem um mecanismo de manipulação de sistema avançado
Após a instalação do driver NDIS infectado, o arquivo de configuração verificará o sistema e carregará a versão apropriada - 32 bits ou 64 bits. Assim como as instalações regulares, o mecanismo de configuração registrará as etapas em um arquivo de log. Quando o driver assinado é implantado no sistema, isso também registra o código do vírus no Registro do Windows de forma criptografada. O próximo passo é o configuração dos serviços de inicialização automática correspondentes - o Trojan LuckyMouse será iniciado automaticamente assim que o computador for ligado. AVISO! em alguns casos, pode desativar o acesso ao menu de recuperação.
O objetivo principal é infectar a memória do processo do sistema lsass.exe. Este é o principal processo do sistema operacional responsável por fazer cumprir a política de segurança predefinida. É responsável por vários processos, incluindo os seguintes: verificação de usuário, mudanças de senha, criação de tokens de acesso, modificações do log de segurança do Windows e etc.
O driver de rede malicioso irá então definir o canal de comunicação para a porta RDP 3389 qual permite que os hackers estabeleçam uma conexão segura com os hosts comprometidos. Ações maliciosas incluem o seguinte:
- Download e execução de outro malware - Os computadores infectados podem ser solicitados a baixar e executar qualquer arquivo escolhido pelos controladores criminais.
- Execução de comando - O cavalo de Tróia LuckyMouse pode executar comandos com privilégios de usuário e administrativos.
- Vigilância - Os criminosos podem monitorar as vítimas e espionar suas atividades em todos os momentos.
- Iniciar ataques de rede - O código do cavalo de Tróia LuckyMouse pode ser usado para espalhar ainda mais as cepas. Isso pode ser feito automaticamente ou acionando comandos de teste de penetração manualmente.
Objetivos e incidentes do cavalo de Troia LuckyMouse
Os analistas de segurança detectaram que os ataques que transportam o cavalo de Tróia LuckyMouse parecem ter como alvo principal as instituições governamentais asiáticas. O fato de as amostras de vírus terem sido personalizadas para seguir esse padrão de comportamento exato sugere que um planejamento significativo foi realizado antes do lançamento. Não há informações claras sobre as intenções dos hackers, no entanto, especula-se que eles podem ser politicamente motivados.
É claro que o coletivo criminoso é altamente experiente e que campanhas futuras e código de vírus atualizado provavelmente acontecerão. Um dos fatos preocupantes é que todos os ataques do LuckyMouse até agora foram identificados após a infecção. Isso significa que houve um atraso entre os ataques e suas identificações. À medida que cada versão é atualizada com uma base de código ainda mais avançada, os administradores de sistema precisarão ser ainda mais cuidadosos ao supervisionar seus sistemas.