Pesquisadores de segurança cibernética descobriram uma conexão entre o notório trojan de acesso remoto (RAT) DarkGate e a operação de crime cibernético financeiro baseada no Vietnã por trás do infostealer Ducktail.
Os pesquisadores da WithSecure, que detectou a atividade de Ducktail em 2022, iniciaram sua investigação sobre o DarkGate após detectar múltiplas tentativas de infecção contra organizações no Reino Unido, EUA e Índia.
“Rapidamente ficou claro que os documentos de atração e a segmentação eram muito semelhantes às recentes campanhas de infostealers Ducktail, e foi possível migrar através de dados de código aberto da campanha DarkGate para vários outros infostealers que muito provavelmente estão sendo usados pelo mesmo ator/grupo ”, observou o relatório.
Laços de DarkGate com Ducktail
DarkGate é malware backdoor capaz de uma ampla gama de atividades maliciosas, incluindo roubo de informações, cryptojacking e uso do Skype, Teams e Mensagens para distribuir malware.
O malware pode roubar uma variedade de dados de dispositivos infectados, incluindo nomes de usuário, senhas, números de cartão de crédito e outras informações confidenciais, e ser usado para extrair criptomoedas em dispositivos infectados sem o conhecimento ou consentimento do usuário.
Ele pode ser usado para entregar ransomware a dispositivos infectados, criptografando os arquivos do usuário e exigindo o pagamento de um resgate para descriptografá-los.
O analista sênior de inteligência de ameaças da WithSecure, Stephen Robinson, explica que, em alto nível, a funcionalidade do malware DarkGate não mudou desde o relatório inicial em 2018.
“Sempre foi um canivete suíço, um malware multifuncional”, diz ele. “Dito isto, ele foi atualizado e modificado repetidamente pelo autor desde então, o que podemos assumir que foi para melhorar a implementação dessas funções maliciosas e para acompanhar a corrida armamentista de detecção de AV/Malware.”
Ele observa que as campanhas DarkGate (e os atores por trás delas) podem ser diferenciadas por quem visam, pelas iscas e vetores de infecção que usam e por suas ações no alvo.
“O cluster vietnamita específico no qual o relatório se concentra usou a mesma segmentação, nomes de arquivo e até mesmo arquivos de atração para várias campanhas usando vários tipos de malware”, diz Robinson.
Eles criaram arquivos PDF usando um serviço online que adiciona seus próprios metadados a cada arquivo criado; esses metadados forneceram ligações ainda mais fortes entre as diferentes campanhas.
Eles também criaram vários arquivos LNK maliciosos no mesmo dispositivo e não apagaram os metadados, permitindo que outras atividades fossem agrupadas.
A correlação entre DarkGate e Ducktail foi determinada a partir de marcadores não técnicos, como arquivos de isca, padrões de segmentação e métodos de entrega, reunidos em um documento de 15 páginas. Denunciar.
“Indicadores não técnicos, como arquivos de isca e metadados, são pistas forenses de alto impacto. Os arquivos Lure, que funcionam como isca para atrair as vítimas a executar o malware, oferecem informações valiosas sobre o modus operandi de um invasor, seus alvos potenciais e suas técnicas em evolução”, explica Callie Guenther, gerente sênior de pesquisa de ameaças cibernéticas da Critical Start.
Da mesma forma, os metadados – informações como “LNK Drive ID” ou detalhes de serviços como o Canva – podem deixar rastros ou padrões discerníveis que podem persistir em diferentes ataques ou atores específicos.
“Esses padrões consistentes, quando analisados, podem preencher a lacuna entre campanhas variadas, permitindo que os pesquisadores os atribuam a um perpetrador comum, mesmo que a pegada técnica do malware seja diferente”, diz ela.
Ngoc Bui, especialista em segurança cibernética da Menlo Security, afirma que é essencial compreender as relações entre diferentes famílias de malware ligadas aos mesmos agentes de ameaças.
“Isso ajuda a construir um perfil de ameaça mais abrangente e a identificar as táticas e motivações desses atores de ameaça”, diz Bui.
Por exemplo, se os investigadores encontrarem ligações entre DarkGate, Ducktail, Lobshot e Redline Stealer, poderão concluir que um único ator ou grupo está envolvido em múltiplas campanhas, o que sugere um elevado nível de sofisticação.
“Isso também pode ajudar os analistas a determinar se mais de um grupo de ameaças está trabalhando em conjunto, como vemos nas campanhas e esforços de ransomware”, acrescenta Bui.
MaaS impacta o cenário de ameaças cibernéticas
Bui aponta que a disponibilidade do DarkGate como serviço tem implicações significativas para o cenário da segurança cibernética.
“Isso reduz a barreira de entrada para aspirantes a cibercriminosos que podem não ter conhecimento técnico”, explica Bui. “Como resultado, mais indivíduos ou grupos podem acessar e implantar malware sofisticado como o DarkGate, aumentando o nível geral de ameaça.”
Bui acrescenta que as ofertas de malware como serviço (MaaS) fornecem aos cibercriminosos um meio conveniente e econômico de conduzir ataques.
Para um analista de segurança cibernética, isto representa um desafio porque deve adaptar-se continuamente a novas ameaças e considerar a possibilidade de vários agentes de ameaças utilizarem o mesmo serviço de malware.
Isso também pode tornar o rastreamento do autor da ameaça que usa o malware um pouco mais difícil, pois o próprio malware pode se agrupar de volta ao desenvolvedor e não ao agente da ameaça que usa o malware.
Mudança de paradigma na defesa
Guenther diz que, para compreender melhor o cenário moderno e em constante evolução das ameaças cibernéticas, é necessária uma mudança de paradigma nas estratégias de defesa.
“Adotar sequências de detecção baseadas em comportamento, bem como aproveitar IA e ML, permite a identificação de comportamentos anômalos de rede, superando as limitações anteriores dos métodos baseados em assinatura”, diz ela.
Além disso, reunir inteligência sobre ameaças e promover a comunicação sobre ameaças e táticas emergentes em todos os setores verticais do setor pode catalisar a detecção e a mitigação precoces.
“Auditorias regulares, abrangendo configurações de rede e testes de penetração, podem descobrir vulnerabilidades preventivamente”, acrescenta Guenther. “Além disso, uma força de trabalho bem informada, treinada para reconhecer ameaças contemporâneas e vetores de phishing, torna-se a primeira linha de defesa de uma organização, reduzindo substancialmente o quociente de risco.”
- Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
- PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
- PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
- PlatãoESG. Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
- PlatoHealth. Inteligência em Biotecnologia e Ensaios Clínicos. Acesse aqui.
- Fonte: https://www.darkreading.com/vulnerabilities-threats/ducktail-infostealer-darkgate-rat-linked-to-same-threat-actors
- :tem
- :é
- :não
- $UP
- 2018
- 7
- a
- Capaz
- Sobre
- Acesso
- em
- Aja
- ações
- atividades
- atividade
- atores
- adaptar
- Adiciona
- Depois de
- contra
- AI
- permite
- tb
- sempre
- an
- analista
- Analistas
- analisado
- e
- aparente
- SOMOS
- braços
- AS
- aspirador
- assumir
- At
- Ataques
- Tentativas
- auditorias
- autor
- disponibilidade
- em caminho duplo
- isca
- barreira
- BE
- passou a ser
- Porque
- torna-se
- sido
- comportamentos
- atrás
- ser
- Melhor
- entre
- PONTE
- Prédio
- by
- Campanha
- Campanhas
- CAN
- capaz
- cartão
- catalisar
- desafiar
- mudado
- Agrupar
- comum
- Comunicação
- compreender
- compreensivo
- conclui
- Conduzir
- da conexão
- Coneções
- consentimento
- Considerar
- consistente
- música
- continuamente
- Conveniente
- Correlação
- relação custo-benefício
- criado
- crédito
- cartão de crédito
- crítico
- criptomoedas
- Criptojacking
- cibernético
- cibercrime
- cibercriminosos
- Cíber segurança
- dados,
- Descifrar
- Defesa
- entregar
- Entrega
- exigente
- implantar
- detalhes
- Detecção
- Determinar
- determinado
- Developer
- dispositivo
- Dispositivos/Instrumentos
- DID
- diferente
- diferenciado
- difícil
- distribuir
- INSTITUCIONAIS
- distância
- cada
- Cedo
- esforços
- abraçando
- permitindo
- abrangente
- entrada
- essencial
- Mesmo
- evolução
- exemplo
- executando
- especialista
- experiência
- Explica
- famílias
- Envie o
- Arquivos
- financeiro
- Encontre
- Primeiro nome
- concentra-se
- Pegada
- Escolha
- Forense
- fomento
- da
- funcionalidade
- funções
- mais distante
- lacuna
- deu
- Grupo
- Do grupo
- Ter
- he
- ajudar
- ajuda
- Alta
- altamente
- HTTPS
- ID
- identificação
- identificar
- if
- impactante
- Impacto
- implementação
- implicações
- melhorar
- in
- Incluindo
- aumentando
- Índia
- indicadores
- indivíduos
- indústria
- INFORMAÇÕES
- do estado inicial,
- insights
- Inteligência
- para dentro
- inestimável
- investigação
- envolvido
- IT
- ESTÁ
- se
- jpg
- Guarda
- Conhecimento
- Falta
- paisagem
- Deixar
- Nível
- aproveitando
- como
- Provável
- limitações
- Line
- ligado
- Links
- pequeno
- fazer
- malwares
- Malware como serviço (MaaS)
- Gerente
- Posso..
- significa
- mensagens
- metadados
- métodos
- poder
- mitigação
- ML
- EQUIPAMENTOS
- modificada
- Modo
- mais
- Além disso
- motivações
- múltiplo
- devo
- nomes
- rede
- Novo
- notado
- Notas
- notório
- números
- of
- oferecer
- Ofertas
- on
- ONE
- online
- aberto
- open source
- operação
- or
- organização
- organizações
- Outros
- Fora
- global
- próprio
- paradigma
- senhas
- padrões
- pagamento
- penetração
- Phishing
- articulação
- platão
- Inteligência de Dados Platão
- PlatãoData
- pontos
- coloca
- possibilidade
- possível
- potencial
- anterior
- Perfil
- fornecer
- Corrida
- alcance
- Resgate
- ransomware
- rapidamente
- RAT
- recentemente
- reconhecendo
- redução
- regular
- Relacionamentos
- remoto
- acesso remoto
- REPETIDAMENTE
- Denunciar
- Relatórios
- pesquisa
- pesquisadores
- resultar
- Risco
- s
- Dito
- mesmo
- diz
- segurança
- Vejo
- senior
- sensível
- serviço
- Serviços
- ela
- mudança
- periodo
- semelhante
- desde
- solteiro
- Skype
- sofisticado
- sofisticação
- fonte
- específico
- começo
- começado
- Stephen
- Estirpes
- estratégias
- mais forte,
- substancialmente
- tal
- Sugere
- insuperável
- tática
- Target
- alvejando
- tem como alvo
- equipes
- Dados Técnicos:
- técnicas
- testes
- do que
- que
- A
- do Reino Unido
- deles
- Eles
- então
- Este
- deles
- isto
- aqueles
- ameaça
- atores de ameaças
- ameaças
- Através da
- Algemas
- para
- juntos
- Rastreamento
- treinado
- troiano
- Uk
- descoberto
- compreensão
- Atualizada
- us
- usava
- Utilizador
- utilização
- variedade
- Verticais
- muito
- vítimas
- vietnamita
- vulnerabilidades
- foi
- we
- BEM
- foram
- quando
- qual
- QUEM
- Largo
- Ampla variedade
- Limpar
- de
- sem
- Força de trabalho
- trabalhar
- zefirnet