TeslaGun preparada para explodir uma nova onda de ataques cibernéticos backdoor

Foi descoberto um painel de ataque cibernético recém-descoberto, denominado TeslaGun, usado pela Evil Corp para executar campanhas backdoor do ServHelper.

Dados coletados de uma análise da equipe Prodraft Threat Intelligence (PTI) mostram que a gangue de ransomware Evil Corp (também conhecida como TA505 ou UNC2165, junto com meia dúzia de outros nomes de rastreamento coloridos) usou o TeslaGun para realizar campanhas de phishing em massa e campanhas direcionadas contra mais mais de 8,000 organizações e indivíduos diferentes. A maioria dos alvos esteve nos EUA, que representaram mais de 3,600 vítimas, com uma distribuição internacional dispersa fora disso.

Tem havido uma expansão contínua do malware backdoor ServHelper, um pacote de longa duração e constantemente atualizado que está em funcionamento desde pelo menos 2019. Ele começou a ganhar força novamente no segundo semestre de 2021, de acordo com um relatório da Cisco Talos, estimulado por mecanismos como instaladores falsos e malware instalador associado, como Raccoon e Amadey. 

Mais recentemente, inteligência de ameaças da Trellix No mês passado, foi relatado que o backdoor ServHelper foi recentemente encontrado lançando criptomineradores ocultos nos sistemas.

O relatório do PTI, publicado na terça-feira, investiga as especificidades técnicas por trás do TeslaGun e oferece alguns detalhes e dicas que podem ajudar as empresas a avançar com contramedidas importantes para algumas das tendências atuais de ataques cibernéticos de backdoor.

Os ataques backdoor que contornam os mecanismos de autenticação e estabelecem silenciosamente a persistência nos sistemas empresariais são alguns dos mais desconcertantes para os defensores da segurança cibernética. Isso ocorre porque esses ataques são notoriamente difíceis de detectar ou prevenir com controles de segurança padrão. 

Atacantes backdoor diversificam seus ativos de ataque

Os pesquisadores do PTI disseram que observaram uma ampla gama de diferentes perfis de vítimas e campanhas durante suas investigações, apoiando pesquisas anteriores que mostraram que os ataques do ServHelper estão buscando vítimas em uma variedade de campanhas simultâneas. Este é um padrão de ataque característico de lançar uma ampla rede para ataques oportunistas.

“Uma única instância do painel de controle TeslaGun contém vários registros de campanha representando diferentes métodos de entrega e dados de ataque”, explicou o relatório. “Versões mais recentes do malware codificam essas diferentes campanhas como IDs de campanha.”

Mas os ciberataques traçarão um perfil ativo das vítimas

Ao mesmo tempo, TeslaGun contém muitas evidências de que os invasores estão traçando perfis de vítimas, fazendo anotações abundantes em alguns pontos e conduzindo ataques backdoor direcionados.

“A equipe do PTI observou que o painel principal do painel TeslaGun inclui comentários anexados aos registros das vítimas. Esses registros mostram dados do dispositivo da vítima, como CPU, GPU, tamanho de RAM e velocidade de conexão à Internet”, disse o relatório, explicando que isso indica o direcionamento para oportunidades de criptomineração. “Por outro lado, de acordo com os comentários das vítimas, está claro que o TA505 está procurando ativamente por usuários de serviços bancários on-line ou de varejo, incluindo carteiras criptografadas e contas de comércio eletrônico.”

O relatório afirma que a maioria das vítimas parece operar no sector financeiro, mas que este alvo não é exclusivo.

A revenda é uma parte importante da monetização backdoor

A forma como as opções do usuário do painel de controle são configuradas ofereceu aos pesquisadores muitas informações sobre o “fluxo de trabalho e estratégia comercial” do grupo, disse o relatório. Por exemplo, algumas opções de filtragem foram rotuladas como “Vender” e “Vender 2”, com as vítimas nesses grupos tendo protocolos de área de trabalho remota (RDP) temporariamente desativados por meio do painel.

“Isso provavelmente significa que o TA505 não pode obter lucro imediato com a exploração dessas vítimas específicas”, de acordo com o relatório. “Em vez de deixá-los ir, o grupo marcou as conexões RDP das vítimas para revenda a outros cibercriminosos.”

O relatório do PTI afirmou que, com base nas observações dos pesquisadores, a estrutura interna do grupo era “surpreendentemente desorganizada”, mas que seus membros ainda “monitoram cuidadosamente suas vítimas e podem demonstrar uma paciência notável, especialmente com vítimas de alto valor no setor financeiro”.

A análise observa ainda que o ponto forte do grupo é a agilidade, o que torna difícil prever a atividade e detectá-la ao longo do tempo.

No entanto, os atacantes backdoor não são perfeitos, e isto pode oferecer algumas pistas para os profissionais de segurança cibernética que procuram frustrar os seus esforços.

“O grupo apresenta algumas fraquezas reveladoras, no entanto. Embora o TA505 possa manter conexões ocultas nos dispositivos das vítimas durante meses, seus membros costumam ser excepcionalmente barulhentos”, afirmou o relatório. “Depois de instalar o ServHelper, os agentes da ameaça TA505 podem se conectar manualmente aos dispositivos das vítimas por meio de tunelamento RDP. As tecnologias de segurança capazes de detectar esses túneis podem ser vitais para detectar e mitigar os ataques backdoor do TA505.”

A Evil Corp, ligada à Rússia (e sancionada), tem sido um dos grupos mais prolíficos dos últimos cinco anos. De acordo com Governo dos Estados Unidos, o grupo é o cérebro por trás do Trojan financeiro Dridex e tem associações com campanhas que usam variantes de ransomware como o WastedLocker. Também continua a aprimorar uma série de armas para o seu arsenal; na semana passada, descobriu-se que está associado a Infecções por Raspberry Robin.

A PTI usa o TA505 para rastrear a ameaça e o consenso é sólido mas não é universal que TA505 e Evil Corp sejam o mesmo grupo. Um relatório do mês passado do Centro de Coordenação de Cibersegurança do Setor Saúde (HC3) disse que “atualmente não apóia essa conclusão”.