APT
Normalmente, quando um usuário tenta ler um documento do Office que foi enviado por e-mail ou baixado de um site, o Microsoft Office o abre no modo protegido. Ele faz isso usando Mark-of-the-Web (MOTW), um dos mecanismos de proteção padrão do Windows. Ele marca os arquivos que apareceram no seu PC a partir da internet, para que os aplicativos conheçam sua origem e possam chamar a atenção do usuário para um perigo potencial. No entanto, confiar cegamente na eficácia de tal mecanismo de aviso é provavelmente uma má ideia, pois, ultimamente, muitos invasores começaram a usar métodos para contornar o MOTW. Por exemplo, quando nossos especialistas estudaram recentemente as ferramentas do grupo BlueNoroff (que dizem ser uma parte do grupo Lazarus), descobriram que os cibercriminosos estão empregando novos truques para enganar o sistema operacional.
Como o BlueNoroff dribla o mecanismo MOTW
O mecanismo Mark-of-the-Web funciona da seguinte forma: assim que um usuário (ou programa) baixa um arquivo da rede, o sistema de arquivos NTFS fixa um atributo “from the internet” a ele. Mas esse atributo nem sempre é adquirido. Quando você baixa um ficheiro ou pasta, todos os arquivos dentro dele recebem esse atributo. No entanto, uma pasta está longe de ser a única maneira de transferir um arquivo indiretamente.
Os invasores por trás do grupo BlueNoroff começaram a experimentar a utilização de novos tipos de arquivo para entregar documentos maliciosos. Em algumas ocasiões eles usaram o formato .iso, que comumente armazena imagens de discos ópticos. A outra opção é um arquivo .vhd que geralmente contém um disco rígido virtual. Em outras palavras, eles escondem a carga real do ataque – um documento falso e um script malicioso – dentro da imagem ou unidade virtual.
Uma descrição técnica mais detalhada das ferramentas e métodos BlueNoroff atualizados, bem como indicadores de comprometimento, pode ser encontrada na publicação de nossos especialistas no blog Securelist.
Quem são BlueNoroff e o que eles estão procurando
No início deste ano, já escrevemos sobre a campanha SnatchCrypto destinada a roubar criptomoedas. Com base em vários sinais, nossos pesquisadores acreditam que é o mesmo grupo BlueNoroff que está por trás disso. A atividade observada hoje também visa principalmente a obtenção de ganhos financeiros. Na verdade, o estágio final do ataque permaneceu o mesmo – os criminosos instalam um backdoor no computador infectado.
O grupo BlueNoroff registrou muitos domínios que imitam empresas de capital de risco e de investimentos, bem como grandes bancos. A julgar pelos nomes dos bancos, bem como pelos documentos falsos usados pelos invasores, eles estão interessados principalmente em alvos que falam japonês. No entanto, pelo menos uma vítima do grupo foi encontrada nos Emirados Árabes Unidos. Como mostra a prática, o BlueNoroff está interessado principalmente em negócios relacionados a criptomoedas, bem como em instituições financeiras.
Como se manter protegido?
Em primeiro lugar, vale a pena abandonar a ilusão de que os mecanismos de proteção padrão incorporados ao sistema operacional são suficientes para manter sua empresa segura. O mecanismo Mark-of-the-Web não pode proteger contra um funcionário abrindo um arquivo recebido da Internet e executando um script malicioso. Para que sua empresa não seja vítima dos ataques do BlueNororff e grupos APT similares, nossos especialistas recomendam o seguinte:
- Instale soluções de seguranças atuais em todos os dispositivos de trabalho — eles vão prevenir que scripts em arquivos maliciosos sejam executados.
- Mantenha seus funcionários informados sobre as ciberameaças – o devido treinamento organizado os ajudará a não cair na isca dos invasores;
- Use soluções de segurança de classe EDR e, se necessário, utilize serviços de Resposta e Detecção Gerenciada— eles permitirão a detecção oportuna de atividades maliciosas na rede corporativa e ajudarão a interromper um ataque antes que danos reais sejam causados.
Dicas