No último relatório da Kaspersky sobre as tendências das Ameaças Persistentes Avançadas (APTs) para o segundo trimestre de 2023, os investigadores analisaram o desenvolvimento de campanhas novas e existentes. O relatório destaca a atividade das APT durante este período, incluindo a atualização dos conjuntos de ferramentas, a criação de novas variantes de malware e a adoção de novas técnicas pelos agentes de ameaças.
Um dos grandes destaques neste segundo trimestre de 2023 foi a exposição da campanha de longa duração ‘Operação Triangulação’, que envolveu a utilização de uma plataforma de malware para iOS anteriormente desconhecida. Mas há mais desenvolvimentos interessantes que, na opinião dos analistas de segurança da Kaspersky, devem ser conhecidos por todos:
Novo agente de ameaça na Ásia-Pacífico: “Mysterious Elephant”
A Kaspersky descobriu um novo agente de ameaças pertencente à família Elephants, a operar na região Ásia-Pacífico, denominado “Mysterious Elephant”. Na sua última campanha, o agente da ameaça utilizou novas famílias de backdoors, capazes de executar ficheiros e comandos no computador da vítima e receber ficheiros ou comandos de um servidor malicioso para execução no sistema infetado. Embora os investigadores da Kaspersky tenham observado sobreposições com o Confucius e o SideWinder, o Mysterious Elephant possui um conjunto distinto e único de TTPs, o que o distingue destes outros grupos.
Ferramentas melhoradas: Lazarus desenvolve nova variante de malware, BlueNoroff ataca o macOS, e mais
Os agentes das ameaças estão constantemente a melhorar as suas técnicas, com o Lazarus a atualizar a sua estrutura MATA e a introduzir uma nova variante da sofisticada família de malware MATA, a MATAv5. O BlueNoroff, um subgrupo do Lazarus centrado em ataques financeiros, emprega agora novos métodos de distribuição e linguagens de programação, incluindo a utilização de leitores de PDF troianizados em campanhas recentes, a implementação de malware para macOS e a linguagem de programação Rust. Além disso, o grupo ScarCruft APT desenvolveu novos métodos de infeção, evitando o mecanismo de segurança Mark-of-the-Web (MOTW). As táticas em constante evolução destes agentes de ameaças apresentam novos desafios aos profissionais de cibersegurança.
Influências geopolíticas continuam a ser os principais motores da atividade APT
As campanhas APT permanecem geograficamente dispersas, com os intervenientes a concentrarem os seus ataques em regiões como a Europa, a América Latina, o Médio Oriente e várias partes da Ásia. A ciberespionagem, com um sólido pano de fundo geopolítico, continua a ser uma agenda dominante para estes empreendimentos.
“Embora alguns agentes de ameaças se mantenham fiéis a táticas conhecidas, como a engenharia social, outros evoluíram, renovando os seus conjuntos de ferramentas e expandindo as suas atividades. Além disso, estão constantemente a surgir novos agentes avançados, como os que conduzem à campanha ‘Operation Triangulation’”, referiu David Emm, investigador principal da Global Research and Analysis Team (GReAT) da Kaspersky.
“Este ator utiliza uma plataforma de malware para iOS anteriormente desconhecida, distribuída através de exploits iMessage de clique zero. Manter-se vigilante com informações sobre ameaças e as ferramentas de defesa corretas é crucial para que as empresas se possam proteger contra ameaças existentes e emergentes. As nossas análises trimestrais foram concebidas para destacar os desenvolvimentos mais significativos entre os grupos APT para ajudar os profissionais da segurança a combater e mitigar os riscos relacionados”, frisou.
Sabe como pode evitar ser vítima de um ataque direcionado por um ator de ameaças conhecido ou desconhecido? Os investigadores da Kaspersky recomendam a implementação das seguintes medidas:
· Para garantir a segurança do seu sistema, é crucial atualizar atempadamente o seu sistema operativo e outro software de terceiros para as versões mais recentes. Manter um calendário de atualização regular é essencial para se manter protegido contra potenciais vulnerabilidades e riscos de segurança
· Melhore as competências da sua equipa de cibersegurança para fazer face às mais recentes ameaças direcionadas com a Formação online Kaspersky desenvolvida pela equipa do GReAT. · Use a mais recente informação de Inteligência de Ameaças para se manter a par dos TTPs usados pelos agentes de ameaças.
· Para uma deteção, investigação e remediação de incidentes ao nível do endpoint, implemente soluções EDR tais como o Kaspersky Endpoint Detection and Response.
· Os serviços dedicados podem ajudar a combater ataques de grande visibilidade. O serviço Kaspersky Managed Detection and Response pode ajudar a identificar e a travar as intrusões nas suas fases iniciais, antes de os perpetradores atingirem os seus objetivos. Se se deparar com um incidente, o serviço Kaspersky Incident Response ajudará a responder e a minimizar as consequências, nomeadamente a identificar os nós comprometidos e a proteger a infraestrutura de ataques semelhantes no futuro.
