Check Point Research revela novas técnicas utilizadas por grupo APT iraniano, direcionadas a entidades israelitas

Check Point Research revela novas técnicas utilizadas por grupo APT iraniano, direcionadas a entidades israelitas

· A Check Point Research revelou novas descobertas relacionadas com o grupo Phosphorus APT, um grupo APT iraniano que opera no Médio Oriente e na América do Norte. A CPR nomeou este grupo Educated Manticore

· O Educated Manticore melhorou significativamente o seu kit de ferramentas, incorporando novas técnicas, abraçando as tendências de ataque atuais e utilizando imagens ISO e outros ficheiros de arquivo para iniciar cadeias de infeção.

· A investigação destaca os chamarizes utilizados no ataque, que foi a utiliação das línguas hebraica e árabe, sugerindo que os alvos eram entidades em Israel.

A Check Point Research (CPR) revelou novas descobertas de um grupo estreitamente relacionado com o Phosphorus. Esta investigação apresenta uma nova e melhorada cadeia de infeção utilizada pelos atacantes. Ao seguir o rasto do ataque, a CPR conseguiu estabelecer ligações com o Phosphorus, um grupo de ameaça sediado no Irão que opera tanto na América do Norte como no Médio Oriente. O Phosphorus foi anteriormente associado a um amplo espetro de atividade, que vai desde o ransomware ao spear-phishing.

Nos ataques detalhados neste relatório, revelamos que o ator da ameaça melhorou significativamente os seus mecanismos e adotou técnicas raramente vistas, tais como a utilização de ficheiros binários .NET, criados em modo misto com código de montagem. A versão recentemente descoberta destina-se provavelmente a ataques de phishing centrados nas zonas à volta do Iraque, utilizando um ficheiro ISO para iniciar a cadeia de infeção. Outros documentos dentro do ficheiro ISO estavam em língua hebraica e árabe, sugerindo que se destinavam a alvos israelitas. A CPR decidiu nomear este grupo de atividades como Educated Manticore.

"No nosso estudo, demonstramos a evolução contínua das capacidades dos atores do estado iraniano. À semelhança da forma como os cibercriminosos adaptam as suas cadeias de infeção para se manterem a par das mudanças nos ecossistemas, estes atores também utilizam ficheiros ISO para contornar as novas restrições à utilização maliciosa de ficheiros de escritório. Juntamente com as cadeias de infeção, as ferramentas utilizadas por este agente de ameaça em particular também melhoraram, indicando o investimento consistente do Irão na melhoria das suas capacidades cibernéticas”, refere Sergey Shykevich, Threat Group Manager da Check Point Software.

Desde 2021 que um novo grupo de atividade, com laços claros com o Irão, chamou a atenção da comunidade de Threat Intelligence. A natureza agressiva da nova ameaça, juntamente com as suas ligações a ransomware de implementação, levou a uma análise aprofundada das suas atividades.

À medida que a atividade evoluía, os laços entre os diferentes aglomerados tornavam-se mais difíceis de resolver. Embora os dois extremos no espetro dessas atividades sejam significativamente diferentes, nunca a comunidade de Threat Intelligence tropeçou numa atividade que não se encaixa facilmente nos aglomerados conhecidos. O relatório anterior da CPR descreveu uma dessas amostras e as sobreposições entre a atividade de exploração Log4J a uma aplicação Android anteriormente ligada à APT35.

A variante mencionada neste relatório foi entregue utilizando ficheiros ISO, indicando que provavelmente se destina a ser o vetor inicial de infeção. Por ser uma versão atualizada do malware previamente reportado, esta variante (PowerLess), associada a algumas das operações de ransomware do Phosphorus, pode representar apenas as fases iniciais da infeção, com frações significativas de atividade pós-infeção ainda por observar.

A Check Point Software fornece, deste modo, certas dicas de defesa para proteção contra os ataques:

· Patches atualizadas: a WannaCry, uma das variantes de ransomware mais famosas que existe, é um exemplo de um worm de ransomware. Na altura do famoso ataque WannaCry, em maio de 2017, existia um patch para a vulnerabilidade EternalBlue utilizada pelo WannaCry. Esta correção estava disponível um mês antes do ataque e foi classificada como "crítica" devido ao seu elevado potencial de exploração. No entanto, muitas organizações e indivíduos não aplicaram a patch a tempo, resultando num surto de ransomware que infetou 200.000 computadores em três dias. Manter os computadores atualizados e aplicar as correções de segurança, especialmente as rotuladas como críticas, pode ajudar a limitar a vulnerabilidade de uma organização a ataques, uma vez que essas correções são normalmente ignoradas ou demoram demasiado tempo a oferecer a proteção necessária.

· Formação de sensibilização para a cibersegurança: Os e-mails de phishing são uma das formas mais populares de propagação de malware. Com a lacuna global de talentos de cibersegurança a afetar as organizações em todo o mundo, a formação frequente em sensibilização para a cibersegurança é crucial para proteger a organização contra ciberataques, aproveitando o seu próprio pessoal como a primeira linha de defesa para garantir um ambiente protegido. Esta formação deve instruir os funcionários a fazer o seguinte:

o Não clicar em ligações maliciosas

o Nunca abrir anexos inesperados ou não confiáveis

o Evitar revelar dados pessoais ou sensíveis a phishers

o Verificar a legitimidade do software antes de o descarregar

o Nunca ligar um dispositivo USB desconhecido ao computador

o Utilizar um VPN quando se conecta através de uma rede Wi-Fi não fiável ou pública

· Utilizar uma melhor prevenção de ameaças: A maioria dos ataques pode ser detetada e resolvida antes que seja demasiado tarde. É necessário ter uma deteção e prevenção automatizada de ameaças na sua organização para maximizar as suas hipóteses de proteção.

o Analisar e monitorizar e-mails: os e-mails são uma escolha comum dos cibercriminosos que executam esquemas de phishing, por isso, dedique algum tempo a analisar e monitorizar e-mails de forma contínua e considere a possibilidade de implementar uma solução de segurança de e-mail automatizada para impedir que e-mails maliciosos cheguem aos utilizadores.

o Verificar e monitorizar a atividade dos ficheiros: também é uma boa ideia analisar e monitorizar a atividade dos ficheiros. Deve ser notificado sempre que houver um ficheiro suspeito em jogo - antes de se tornar uma ameaça.

· Threat Intelligence: fornece as informações necessárias para detetar eficazmente ataques zero-day. A protecção contra estes requer soluções que possam traduzir esta inteligência em acções que impeçam o sucesso do ataque. A Check Point desenvolveu mais de sessenta motores de prevenção de ameaças que tiram partido da inteligência de ameaças ThreatCloud AI para a prevenção zero-day.

Consolidação da segurança funciona: muitas organizações dependem de uma vasta gama de soluções de segurança autónomas e desconectadas. Embora estas soluções possam ser eficazes na proteção contra uma determinada ameaça, diminuem a eficácia da equipa de segurança de uma organização, sobrecarregando-a com dados e obrigando-a a configurar, monitorizar e gerir muitas soluções diferentes. Como resultado, a equipa de segurança, sobrecarregada de trabalho, esquece-se de alertas críticos. Uma plataforma de segurança unificada é essencial para evitar ataques zero-day. Uma solução única com visibilidade e controlo de todo o ecossistema de TI de uma organização tem o contexto e a perceção necessários para identificar um ciberataque distribuído. Além disso, a capacidade de executar respostas coordenadas e automatizadas em toda a infraestrutura de uma organização é essencial para evitar campanhas de ataque zero-day em ritmo acelerado.