• Operação "TooHash" Visa Propagar Spyware para Ataques Contra Organizações

    Os especialistas da SecurityLabs do G DATA, descobriram uma campanha de cyber-espionagem que está em andamento, e que exemplifica perfeitamente a maneira como os ataques direcionados são colocados em prática. O objetivo desta campanha é roubar valiosos documentos das entidades alvo. Os profissionais intitularam essa de "TooHash". O "modus operandi" dos atacantes é a realização de técnicas de spear phishing usando um documento malicioso do Microsoft Office como um anexo. Além disso, os atacantes não escolhem seus alvos de forma indiscriminada, o que deriva do fato de que eles enviam documentos especialmente criados, provavelmente para os funcionários que trabalham com gestão de recursos humanos.


    De forma habitual, os destinatários estão propensos a abrir esses documentos em uma base diária. A maioria das amostras descobertas foram apresentadas a partir de Taiwan. Como parte dos documentos estão em idioma Chinês Simplificado, que é bastante usado na China e outros em chinês tradicional, que é usado em Hong Kong, Macau e Taiwan, esses documentos maliciosos poderiam ter sido usados contra alvos em toda a área da "Greater China".


    Malware Usado na Campanha

    Os documentos anexados exploram uma vulnerabilidade conhecida e bastante antiga (CVE-2012-0158) para liberar uma ferramenta de administração remota (RAT), para o computador do usuário-alvo. Durante a campanha, foram identificados duas diferentes amostras de malware, e ambas incluem componentes de cyber-espionagem comuns, tais como a execução de código, listagem de arquivos, exfiltração de documentos e muito mais. Além disso, houve a descoberta de mais de 75 servidores de comando e controle, todos eles sendo utilizados para administrar máquinas infectadas.

    Os servidores foram localizados principalmente em Hong Kong e nos Estados Unidos. Além do mais, o idioma do painel de administração, usado pelos atacantes para gerenciar os sistemas infectados, foi parcialmente escrito em chinês e a outra parte em inglês. O exploit utilizado pelos atacantes é identificado e bloqueado pela tecnologia G DATA’s Exploit Protection e soluções de segurança da G Data, que tiveram a capacidade de detectar os binários liberados com o malware Win32.Trojan.Cohhoc.A e com o Win32.Trojan.DirectsX.A, respectivamente.


    Roubo de Informações

    Hoje em dia, segredos comerciais descrevem um dos principais valores de quase todas as organizações em todo o mundo. Portanto, concorrentes por raiva ou inveja por estarem sendo suplantados de alguma forma no mercado, podem ser tentados a roubar informações confidenciais valiosas, com o intuito de utilizá-las a seu favor e prejudicando o seu alvo. O vazamento de informações sensíveis
    de documentos pode ser um desastre para a empresa e levar a grandes perdas financeiras. Além disso, muitas entidades governamentais
    usam documentos sensíveis. Portanto, vale lembrar que as agências de inteligência podem estar interessadas em obter esses documentos.


    Análise da Campanha

    As amostras analisadas utilizadas na campanha "TooHash", tratavam-se de documentos do Microsoft Office, e foram submetidos a equipe da G Data a partir de um cliente de Taiwan. Uma indicação para a zona de alvo é um dos documentos utilizados pelos atacantes, que continham o string "102 年 尾牙", que significa "final do ano 102". O calendário oficial utilizado em Taiwan começa em 1912 (ano 1), de modo que
    o ano 102 é o ano de 2013, de acordo com o calendário gregoriano (1911 + 102 = 2013). Portanto, conclui-se que os alvos são entidades localizadas na região da Grande China, e sob o nome de outro documento utilizado pelo atacante chamado 李辉 简历 .doc, que se traduz em "currículo de Li Hui".

    Outra vantagem constatada, o que sugere que os ataques atuaram na região em questão, é o fato de que a maioria das amostras disponíveis no VirusTotal foram originalmente apresentados a partir de Taiwan. O nome DNS do servidor C & C, continha informações sobre as empresas afetadas. Aqui está uma lista de algumas organizações atingidas:

    - Organizações de Investigação Pública
    - Organizações de Pesquisa Espacial
    - Empresas de Telecomunicações
    - Empresas Privadas


    Campanha de Spear Phishing

    Para liberar o malware para o computador de destino e controlar o sistema, os atacantes escolheram colocar em prática uma campanha de spear phishing. Esta campanha, composta por um documento do Microsoft Office, está sendo enviada para a vítima. E a provável porta de entrada para um CV manipulado seria um departamento de RH. Se o documento for aberto com uma versão desatualizada do Microsoft Office, o malware será instalado com o intuito de explorar a vulnerabilidade CVE-2012-0158.

    Para dar mais credibilidade, os atacantes selecionam os usuários-alvo e o tipo dos documentos anexados, de forma cuidadosa e inteligente. Por exemplo, um documento do Microsoft Office Word chamado "currículo de Li Hui.doc". O título do documento, bem como o seu conteúdo, foi escrito em chinês simplificado. Os títulos dos documentos envolvidos são os seguintes:

    - 文件列表.xls (file list) [Simplified Chinese]
    - 李辉简历.doc (resume of Li Hui) [Simplified Chinese]
    - 102年尾牙、103年春酒精緻菜單.xls (End of the year 102, year 103 Spring Menu) [Traditional Chinese]


    Exploit Utilizado

    Para explicar o exploit utilizado, é necessário olhar para o documento do Word, o CV. O exploit mencionado alguns "crashes" no Microsoft Word, que pode alertar os usuários atacados imediatamente. De acordo com a análise dos profissionais da G Data, os atacantes trabalham
    seu documento malicioso de uma maneira especial, para esconder qualquer evidência de software malicioso: O .doc malicioso provoca um "crash", mas momentos depois do ocorrido uma sessão do Word legítima se abre e, para o usuário, tudo parece ser normal.

    No entanto, os usuários cautelosos podem suspeitar de ações maliciosas por trás de tais atividades e notificar os profissionais de segurança. O CV que vem com o documento legítimo Word (Wo.doc) é escrito em caracteres chineses e com estilo utilizado em território chinês. No entanto, esta amostra também foi apresentada em Taiwan.


    Servidores de Comando e Controle

    Em relação aos servidores de comando e controle, foi possível a identificação de 75 servidores diferentes. O IP resolvido pelos domínios mudava frequentemente. Até o momento da elaboração deste relatório, todos os servidores C & C conhecidos foram localizados principalmente em Hong Kong, com três empresas de hospedagem diferentes:

    - HONGKONG LONG LIVE NETWORK CO LIMITED
    - ASIA PACIFIC SERVER COMPANY (HK)
    - Simcentric Solution (HK)


    Uma quarta empresa de host utilizada nesse processo, foi localizada nos Estados Unidos:

    - Ethrn.Net LLC (EUA)


    Os IP ranges utilizados são os seguintes:

    - 103.228.64.0/24
    - 111.68.3.0/24
    - 112.121.160.0/18
    - 180.178.32.0/18
    - 216.83.32.0/19

    A escolha de nomes de domínio foi feita para enganar os usuários ou a equipe de segurança, durante a sua análise dos registros coletados da Web. Dessa forma, é interessante dar uma olhada nos dois exemplos utilizados durante a campanha TooHash:


    * .cnnic-micro.com

    CNNIC é a sigla para China National Network Information Center. É o órgão administrativo para a administração de domínio da Internet na China.


    * .adobeservice.net

    O domínio parece estar relacionado a Adobe Systems Incorporated, a popular empresa de software. Mas, infelizmente, o domínio não é de propriedade da Adobe também.


    * .intarnetservice.com

    O domínio parece ser uma rede intranet legítima, mas é fácil perceber o erro de digitação no nome de domínio.


    * .webmailerservices.com
    * .proxydomain.org
    * .privnsb.com


    Para cada domínio, os cybercriminosos adicionaram um subdomínio, que é geralmente considerado como o nome (ou a sigla) das entidades visadas. Aqui está um exemplo: nspo.intarnetservices.com. Isso poderia, no contexto da região da China, representar a National Space Organization localizado em Taiwan. Os atacantes controlam máquinas infectadas com a ajuda de servidores Web instalados nos servidores de comando e controle, eles não precisam ter acesso remoto.


    Considerações Executivas

    Esta campanha mostrou-nos uma vez mais, que as pessoas não hesitam em usar métodos sofisticados e enganosos para roubar dados de empresas ou organizações governamentais. Os processos maliciosos parecem ter feito vítimas (no caso, empresas) na região dterritório chinês e em outros países vizinhos, mas esta tecnologia pode ser facilmente usada contra organizações de outros países e regiões em todo o mundo. Isso acontece, principalmente, devido ao aumento do valor, que hoje em dia, as informações comerciais e políticas apresentam. Dessa maneira, tudo leva a crer que o uso deste tipo de campanha patrocinada é muito provável que apresente um considerável aumento no futuro.

    Levando em consideração todas essas ocorrências, as empresas e outras entidades, precisam aumentar suas medidas de segurança para educar os usuários sobre os riscos que eles podem encontrar ao trabalhar com um computador - que vão desde a engenharia social atpe ataques de malware, que estão cada vez mais audaciosos e sofisticados. Os exploits utilizados durante esta campanha são detectados pelo G Data, a partir de seu Sistema de Proteção e os arquivos envolvidos
    são detectados por seus mecanismos de antivírus. Para todos aqueles que gostariam de receber mais informações técnicas ou gostariam de contribuir com qualquer informação relacionada a esta campanha, pode entrar em contato através do seguinte e-mail: toohash.securityblog@gdata.de


    Saiba Mais:

    [1] G Data Security Labs https://public.gdatasoftware.com/Pre...2014_EN_v1.pdf

    Sobre o Autor: Camilla Lemke


Visite: BR-Linux ·  VivaOLinux ·  Dicas-L