Threats
A Crutch foi implementada nos sistemas do ministério europeu dos negócios estrangeiros pelo grupo de hacking Turla
06/12/2020
|
Uma campanha de espionagem cibernética está a visar o Ministério dos Negócios Estrangeiros da União Europeia com a ajuda de uma forma de malware que fornece uma porta de entrada secreta para sistemas Windows comprometidos Os investigadores de cibersegurança na ESET, descobriram ferramentas concebidas para roubar documentos sensíveis e outros ficheiros, filtrando-os secretamente através de contas Dropbox controladas pelos atacantes. Apelidada de Crutch pelos seus desenvolvedores, esta campanha de malware tem estado ativa desde 2015 e os investigadores associam-na ao grupo de hacking Turla e o Centro Nacional de Cibersegurança do Reino Unido (NCSC) atribui esta forma de malware à Rússia. No entanto, a Crutch é implementada depois dos ciberataques já terem comprometido a rede alvo – algo que campanhas semelhantes conseguiram com ataques de phishing. Uma vez que a Crutch é instalada como uma porta traseira no sistema-alvo, comunica-se com uma conta Dropbox codificada utilizada para recuperar ficheiros enquanto permanece sob o radar uma vez que o Dropbox é capaz de se misturar com o tráfego normal de rede. A análise da porta dos fundos indica que foi repetidamente atualizada e alterada ao longo dos anos, de modo a manter a eficácia, mantendo-se também escondida. "A principal atividade maliciosa é a filtração de documentos e de outros ficheiros sensíveis. A sofisticação dos ataques e detalhes técnicos da descoberta fortalecem ainda mais a perceção de que o grupo Turla tem recursos consideráveis para operar um arsenal tão grande e diversificado", afirma Matthieu Faou, investigador de malware da ESET. No entanto, apesar da natureza persistente do ataque pelo que é considerado uma sofisticada operação de hacking, ainda existem algumas medidas de segurança relativamente simples que as organizações podem aplicar para evitar serem vítimas desta ou de muitas outras formas de ciberataque. "Durante esta investigação, percebemos que os atacantes foram capazes de se mover lateralmente e comprometer máquinas adicionais reutilizando senhas de administração", explica Fauo. "Acredito que limitar as possibilidades de movimento lateral tornaria muito mais difícil a vida dos cibercriminosos. Isto significa impedir que os utilizadores possam funcionar como administrador, utilizando dois fatores de autenticação em contas de administração e usando senhas únicas e complexas", conclui. |
Receba todas as novidades na sua caixa de correio!
NEWS
CNCS lança referencial de comunicação de risco e crise
THREATS
CNCS lança alerta para campanhas de CEO fraud
THREATS
Maioria dos dispositivos infetados com malware são empresariais
NEWS
CISA lança sistema de análise de malware de última geração para uso público
BLUE TEAM
Warpcom assume compromisso junto de clientes com soluções alinhadas com a transformação digital e a cibersegurança
THREATS
Investigadores interrompem tentativa de aquisição credível em projetos de software open-source
THREATS
Cibercriminosos patrocinados pelo Estado exploram zero-day em firewalls
THREATS
RA World é o ataque de ransomware mais emergente
THREATS
Juniper Networks lança novas correções para vulnerabilidades
THREATS
Maioria dos dispositivos infetados com malware são empresariais
