VOLTAR ÀS NOTÍCIAS
Última Hora

APT37 Implementa Novo Malware para Infiltrar Redes Isoladas via Dispositivos Removíveis

4 min de leituraFonte: BleepingComputer

Pesquisadores descobrem campanha do grupo norte-coreano APT37 usando malware inédito para violar redes air-gapped via USB, ampliando táticas de espionagem em ambientes de alta segurança.

Grupo Norte-Coreano APT37 Expande Arsenal com Malware para Quebrar Isolamento de Redes

Pesquisadores de segurança identificaram uma nova campanha do grupo norte-coreano APT37 (também conhecido como Reaper ou ScarCruft), envolvendo um malware até então não documentado, projetado para conectar redes air-gapped a sistemas com acesso à internet. A cadeia de ataque utiliza dispositivos USB removíveis para facilitar a exfiltração de dados e vigilância, destacando uma evolução nas táticas do grupo para atingir ambientes de alta segurança.

Análise Técnica do Ataque

O malware, identificado em investigações recentes, opera por meio de um processo de infecção em múltiplas etapas:

  1. Vetor de Infecção Inicial: O ataque começa com e-mails de phishing ou spear-phishing, um ponto de entrada comum para o APT37. Uma vez que um sistema é comprometido, o malware estabelece persistência e aguarda a conexão de um dispositivo removível.

  2. Propagação via USB: Quando um sistema infectado detecta um dispositivo USB conectado, o malware copia a si mesmo para o dispositivo, frequentemente disfarçando sua carga útil como arquivos legítimos ou utilizando técnicas de autorun.inf para execução automática ao ser inserido.

  3. Quebra do Isolamento Air-Gapped: Ao ser inserido em um sistema air-gapped, o malware é ativado, realizando varreduras em busca de dados sensíveis e estabelecendo canais de comunicação ocultos para exfiltrar informações de volta à infraestrutura controlada pelos atacantes. Esse método contorna defesas tradicionais baseadas em rede, dependendo, em vez disso, de mídia física para transferência de dados.

  4. Capacidades de Vigilância: O malware inclui módulos para keylogging, captura de tela e roubo de arquivos, permitindo vigilância abrangente dos sistemas comprometidos. Pesquisadores observam que as cargas úteis são altamente modulares, permitindo que os atacantes adaptem a funcionalidade com base em alvos específicos.

Embora nenhum CVE ID tenha sido atribuído a essas ferramentas recém-descobertas, a sofisticação do malware sugere um investimento significativo em técnicas para evadir detecção, incluindo técnicas anti-análise, como evasão de sandbox e comunicações criptografadas.

Impacto e Alvos

O APT37 tem histórico de ataques a agências governamentais, contratantes de defesa e infraestrutura crítica na Coreia do Sul, Japão e Oriente Médio. A mudança do grupo em direção a sistemas air-gapped indica um foco em redes isoladas de alto valor, como aquelas utilizadas em setores militar, nuclear ou financeiro. O uso de propagação via USB alinha-se a táticas observadas em outras campanhas patrocinadas por Estados, incluindo Stuxnet e Agent.BTZ, embora as ferramentas do APT37 pareçam adaptadas para espionagem, em vez de sabotagem.

A descoberta reforça a ameaça persistente representada por atores estatais a ambientes air-gapped, frequentemente percebidos como inerentemente seguros devido ao seu isolamento físico. No entanto, a dependência de mídia removível introduz uma vulnerabilidade crítica, já que até mesmo um único dispositivo USB comprometido pode servir como ponte para exfiltração de dados.

Mitigação e Recomendações

Equipes de segurança, especialmente aquelas que gerenciam redes air-gapped ou de alta segurança, devem implementar as seguintes medidas para mitigar essa ameaça:

  • Controles de Acesso a USB: Restringir o uso de dispositivos removíveis a pessoal autorizado e aplicar whitelisting de dispositivos aprovados. Considere desativar a funcionalidade de autorun em todos os sistemas.

  • Detecção e Resposta em Endpoints (EDR): Implementar soluções de EDR capazes de detectar comportamentos anômalos, como transferências não autorizadas de arquivos para mídia removível ou execução de processos incomuns.

  • Segmentação de Rede: Embora sistemas air-gapped sejam fisicamente isolados, redes adjacentes devem ser segmentadas para limitar o movimento lateral em caso de violação.

  • Treinamento de Conscientização do Usuário: Educar funcionários sobre os riscos de ataques baseados em USB, incluindo campanhas de phishing que podem preceder a implantação de malware.

  • Auditorias Regulares: Realizar auditorias frequentes em sistemas air-gapped para detectar alterações não autorizadas de hardware ou software. Implementar monitoramento de integridade de arquivos (FIM) para identificar modificações suspeitas.

  • Compartilhamento de Inteligência de Ameaças: Colaborar com pares do setor e agências governamentais para se manter informado sobre ameaças emergentes de grupos como o APT37. Monitorar indicadores de comprometimento (IOCs) associados a essa campanha.

Conclusão

A descoberta do mais recente malware do APT37 destaca o jogo contínuo de gato e rato entre agentes de ameaças e defensores em ambientes de alta segurança. Embora redes air-gapped continuem sendo um mecanismo de defesa crítico, sua vulnerabilidade a ataques baseados em mídia física exige uma abordagem de segurança em camadas. As organizações devem permanecer vigilantes, combinando controles técnicos com caça proativa a ameaças para combater ameaças persistentes avançadas.

Para mais detalhes, incluindo IOCs e análise técnica, consulte o relatório original no BleepingComputer.

Compartilhar

TwitterLinkedIn