Além do surgimento de um novo grupo e atualizações em campanhas já existentes, os especialistas destacam que contextos geopolíticos continuam sendo os principais motivadores para as atividades de grupos de APTs
No relatório da Kaspersky sobre as tendências das Ameaças Persistentes Avançadas (APTs) para o segundo trimestre de 2023, os investigadores analisaram o desenvolvimento de campanhas novas e já existentes e destacam que a ciberespionagem como forma de influência geopolítica continua sendo o principal motor que impulsiona os grupos especializados de cibercrime.
Outro importante destaque no segundo trimestre de 2023 foi a exposição da campanha "Operação Triangulação", que utiliza malware para infectar dispositivos com o sistema iOS para fins de espionagem, provavelmente. Veja abaixo outras tendências citadas no relatório:
“Mysterious Elephant” - novo grupo atuando na região Ásia-Pacífico
A Kaspersky descobriu um novo grupo APT que utiliza a família de malware Elephants e opera na região Ásia-Pacífico, denominado "Mysterious Elephant". Na sua última campanha, eles utilizaram novos backdoors, capazes de executar arquivos e comandos no computador da vítima e receber arquivos ou comandos de um servidor malicioso para execução no sistema infetado. Embora os investigadores da Kaspersky tenham observado sobreposições de códigos maliciosos com o Confucius e o SideWinder, o Mysterious Elephant possui um conjunto distinto e único de TTPs, o que o distingue destes outros grupos.
Ferramentas melhoradas: Lazarus desenvolve nova variante de malware, BlueNoroff, ataca o macOS, e mais
O Lazarus atualizou a sua estrutura MATA e introduziu uma nova variante da sofisticada família de malware MATA, a MATAv5. O BlueNoroff, um subgrupo do Lazarus centrado em ataques financeiros, emprega agora novos métodos de distribuição e linguagens de programação, incluindo a utilização de leitores de PDF troianizados em campanhas recentes, a implementação de malware para macOS e a linguagem de programação Rust. Além disso, o grupo ScarCruft APT desenvolveu novos métodos de infeção, evitando o mecanismo de segurança Mark-of-the-Web (MOTW). As táticas em constante evolução desses grupos apresentam novos desafios aos profissionais de cibersegurança.
Influências geopolíticas continuam a ser os principais motores da atividade APT
As campanhas APT permanecem geograficamente dispersas, com os cibercriminosos concentrando seus ataques em regiões como a Europa, a América Latina, o Oriente Média e diversas partes da Ásia. A ciberespionagem, com um sólido pano de fundo geopolítico, continua a ser uma agenda dominante para estes empreendimentos.
“Embora alguns grupos se mantenham fiéis a táticas conhecidas, como a engenharia social, outros evoluíram, renovando os seus conjuntos de ferramentas e expandindo as suas atividades. Além disso, estão constantemente a surgir novos atores especializados, como os que conduzem à campanha "Operation Triangulation". O fato deles conseguirem explorar o sistema iOS é algo muito raro e mostra o grau de sofisticação do cibercrime e deve este deve ser um marco de mudança para que empresas passem a repensar suas estratégias de defesa de uma maneira mais ampla.”, afirma Fabio Assolini diretor da Equipe Global de Pesquisa e Análise da Kaspersky para a América Latina.
Para ler o relatório APT Q2 2023 completo, visite a Securelist.
Para evitar ser vítima de um ataque direcionado por um ator de ameaças conhecido ou desconhecido, os investigadores da Kaspersky recomendam a implementação das seguintes medidas:
- Para garantir a segurança do seu sistema, é crucial atualizar atempadamente o seu sistema operativo e outro software de terceiros para as versões mais recentes. Manter um calendário de atualização regular é essencial para se manter protegido contra potenciais vulnerabilidades e riscos de segurança
- Melhore as competências da sua equipa de cibersegurança para fazer face às mais recentes ameaças direcionadas com a Formação online Kaspersky desenvolvida pela equipa do GReAT.
- Use a mais recente informação de Threat Intelligence para se manter a par dos TTPs usados pelos agentes de ameaças.
- Para uma deteção, investigação e remediação de incidentes ao nível do endpoint, implemente soluções EDR tais como o Kaspersky Endpoint Detection and Response.
- Os serviços dedicados podem ajudar a combater ataques de grande visibilidade. O serviço Kaspersky Managed Detection and Response pode ajudar a identificar e a travar as intrusões nas suas fases iniciais, antes de os perpetradores atingirem os seus objetivos. Se se deparar com um incidente, o serviço Kaspersky Incident Response ajudará a responder e a minimizar as consequências, nomeadamente a identificar os nós comprometidos e a proteger a infraestrutura de ataques semelhantes no futuro.
Sobre a Kaspersky
A Kaspersky é uma empresa global de cibersegurança e privacidade digital fundada em 1997. O seu profundo conhecimento do panorama de inteligência de ameaças e a sua experiência leva à criação contínua de soluções de segurança e serviços para proteger as empresas, infraestrutura críticas, Governos e consumidores por todo o mundo. O portfólio de segurança da empresa inclui a solução líder de proteção para endpoint e um vasto número de programas e serviços de segurança especializados – que incluem soluções de Ciberimunidade – que visam combater ameaças digitais mais sofisticadas e em permanente evolução. Atualmente, mais de 400 milhões de utilizadores estão protegidos pelas tecnologias da Kaspersky e a empresa ajuda cerca de 220.000 clientes corporativos a proteger o que lhes é mais importante. Mais informações no site.
