Ciberataques contra indústria usam nuvem para distribuir malware
Ciberataques direcionados à indústria revelam que os grupos especializados estão mirando manufaturas, sistemas de controle industrial e de integração. Segundo um novo relatório da empresa de segurança digital Kaspersky, esses ataques se valem de serviços de nuvem para disseminar malwares.
“Serviços de armazenamento de dados na nuvem, como Dropbox e Yandex Disk, bem como plataformas de compartilhamento temporário de arquivos, foram usados para vazar dados e entregar malware em seguida. Também foi implantada uma infraestrutura de comando e controle (C2) no Yandex Cloud, bem como em servidores privados virtuais (VPS) regulares para manter o controle das redes comprometidas”, diz a empresa.
Nesses ataques, foram implementadas novas variantes do malware FourteenHi. Originalmente descoberta em 2021 durante a campanha ExCone, que visava entidades governamentais, essa família de malware evoluiu, com novas variantes surgindo em 2022, para atingir especificamente a infraestrutura de organizações industriais.
Além disso, foi descoberto durante a investigação um novo implante de malware, chamado de MeatBall. Esse implante backdoor tem amplas capacidades de acesso remoto.
Durante a investigação, a Kaspersky descobriu uma série de ataques direcionados com o objetivo de estabelecer um canal permanente de roubo (exfiltração) de dados. Essas campanhas mostraram semelhanças importantes com ataques já conhecidos como ExCone e DexCone, sugerindo o envolvimento do APT31, também conhecido como Judgment Panda e Zirconium.
A investigação revelou ainda o uso de recursos avançados projetados para acesso remoto, mostrando o amplo conhecimento e experiência dos grupos em contornar as medidas de segurança. Essas ferramentas possibilitaram o estabelecimento de canais contínuos para vazamento de dados, inclusive de sistemas extremamente seguros.
Foram usadas técnicas de sequestro de DLL (ou seja, uso indevido de programas legítimos com vulnerabilidades para carregar DLLs maliciosas na memória) para tentar evitar a detecção precoce do ataque.
