Novos software maliciosos descobertos pela ESET continuam alimentando a base de conhecimento da MITRE ATT&CK™

Seguinte

Desde 2015, a base de conhecimentos da MITRE ATT&CKTM já recebeu uma grande quantidade de contribuições da comunidade de cibsersegurança. A ATT&CK faz uma compilação desses dados para proporcionar uma linguagem comum e inteligência estruturada sobre os comportamentos de adversários em diversos grupos de ameaças. As contribuições mais recentes da ESET são quatro entradas no Software e uma extensão às categorias de Grupos da ATT&CK.

Software

 

1. Attor (S0438)

Attor é uma plataforma de ciberespionagem nunca antes reportada e que realiza ataques direcionados desde 2013 contra missões diplomáticas e instituições governamentais localizadas principalmente na Rússia. A arquitetura do Attor consiste em um dispatcher e plugins carregáveis.

A ESET descobriu e nomeou o malware e dividiu suas funções em duas características notáveis de seus plugins: a capacidade de monitorar dispositivos e usar comandos AT para marcar pegadas digitais em dispotivos GSM e o uso de Tor no plugin para comunicação de comando, controle e filtragem.

A funcionalidade do Attor é atribuída a 32 técnicas Enterprise da ATT&CK e 18 sub-técnicas.

2.Okrum (S0439)


Okrum é um backdoor desconhecido que a ESET dectectou pela primeira vez no final de 2016 em ataques contra missões diplomáticas na Eslováquia, Bélgica, Chile, Guatemala e Brasil. Os atores maliciosos por trás do Okrum empregaram várias táticas para passar despercebidos, como embutir carga maliciosa dentro de uma imagem PNG legítima, empregar diversos truques anti-emulação e anti-sandbox, e realizar mudanças frequentes na implementação.

A ESET descobriu o backdoor Okrum após vincular uma amostra do Ketrican com o trabalho previamente documentado do grupo Ke3chang (APT15). A entrada do Orkum compreende 28 técnicas Enterprise da ATT&CK e 24 sub-técnicas.

3. ComRAT (S0126)

ComRAT, um backdoor utilizado pelo grupo de ameaças Turla desde ao menos 2007, foi descoberto pela ESET em sua última versão (versão quatro) lançada em 2017 e direcionada a dois ministérios de relações exteriores e um parlamento nacional. Os operadores utilizam a vulnerabilidade para descobrir, roubar e filtrar documentos confidenciais.

Os investigadores da ESET encontraram 16 técnicas Enterprise da ATT&CK e 11 sub-técnicas implementadas.

4. DEFENSOR ID (S0479

DEFENSOR ID é um trojan bancário de Android que possui permissão de ataque quando usuários permitem ativar serviços de acessibilidade. O aplicativo está repleto de uma serie de funções maliciosas, que incluem roubo de credenciais de início de sessão, mensagens SMS e e-mail, chaves privadas de criptomoedas que foram abertas, e códigos de duplo fator de autenticação gerados através de um software; esvazia contas bancárias e carteiras de criptomoedas; além disso, toma controle de contas de e-mail e redes sociais.

Grupos

 

1. Turla (G0010)

Os investigadores da ESET identificaram vários vínculos entre ComRAT v4 e o grupo de ameaças Turla. A versão quatro do backdoor usa o nome interno “Chinch” como em versões anteriores, que utiliza o mesmo comando personalizado e protocolo de controle sobre HTTP que o ComRAT v3, compartilha parte de sua infraestrutura de rede com Mosquito (outro backdoor usado pelo Turla) e foi confundida com outras famílias do malware Turla.

Ao relacionar o ComRAT v4 com o Turla, a ESET proporcionou extensões de 13 técnicas Enterprise da ATT&CK e 6 sub-técnicas do grupo Turla.

Avaliações da MITRE ATT&CK: Simulação do grupo APT Carbanak/FIN7

A MITRE ATT&CK também é reconhecida por suas avaliações. Em sua terceira ronda, as avaliações utilizavam ataques simulados para provar as capacidades de prevenção e detecção dos produtos de segurança contra as técnicas empregadas por adversários de alto perfil. As equipes da ESET e MITRE ATT&CK irão participar em atividades de grupos roxo-azuis, que colocarão a ESET contra técnicas do grupo Carbanak/FIN7 APT.

FIN7 é famoso por criar uma companhia fantasma chamada Combi Security que contratava profissonais em cargos de cibersegurança, como o da penetration tester. Até agora, o Departamento de Justiça dos Estados Unidos já prendeu e acusou quatro membros do grupo. A ESET descobriu o malware Carbanak, direcionado a endpoints de pontos de venda para obter dados de cartão de crédiro em um cassino. Carbanak é conhecido principalmente por sua ação na área financeira e de varejo, incluindo bancos, empresas de comércio de divisas, cassinos, hotéis e restaurantes.

Como a ATT&CK nos beneficia?

Em agosto de 2020, a quantidade de contribuições da ESET para a MITRE ATT&CK continua crescendo, e a ESET como um dos fornecedores de segurança da informação mais comprometidos e referenciados, está diretamente envolvida na filtragem e melhora da base de conhecimento da MITRE ATT&CK. O compromisso da ESET com a ATT&CK segue oferecendo informação e a Pesquisa e Desenvolvimento de produtos, além da prática de investigação de malware e o contínuo trabalho de conscientização em segurança. Essas contribuições também aumentam as posibilidades de ajudar a comunidade com conhecimento.