2019-8-26

SECURITY

Portugal já foi afetado pela APT Cloud Atlas

Portugal é um dos países afetados pela ameaça persistente avançada Cloud Atlas, também conhecida por Inception. Esta cadeia de infeção já foi detetada em várias organizações de outros países da Europa e Ásia Central

Portugal já foi afetado pela APT Cloud Atlas

A Cloud Atlas é uma APT com uma ampla trajetória em operações de ciberespionagem contra o setor industrial, entidades estatais e outros organismos. Foi identificada pela primeira vez em 2014 e, desde então, nunca deixou de estar ativa.

Os setores internacional aerospacial e da economia, assim como entidades religiosas e da administração pública de diversos países, têm-se constituído os principais alvos da Cloud Atlas, principalmente em Portugal, România, Turquia, Ucrânia, Rússia, Turquemenistão, Afeganistão e Quirguistão.

Devido às suas capacidades de infiltração bem-sucedidas, a Cloud Atlas recolhe informações sobre o sistema que se está a utilizar, assim como credenciais de acesso e arquivos .txt, .pdf e .xls para um servidor de comando e controlo.

Apesar da Cloud Atlas não ter alterado as suas táticas de forma radical, as investigações efetuadas desde 2018 revelam que esta ameaça já começou a implementar novas formas para infetar as suas vítimas e a realizar movimentos laterais através da rede.

Anteriormente, a Cloud Atlas começava por enviar um email de spear phishing com o arquivo em anexo, que continha conteúdo malicioso. Se a infiltração fosse bem-sucedida, o PowerShower – o malware incorporado no arquivo em anexo, utilizado para o reconhecimento inicial e para o download posterior de outros módulos maliciosos adicionais – era executado de forma a que os hackers pudessem proceder com uma operação.

Agora, a nova cadeia de infeção atrasa a execução do PowerShower para uma etapa posterior. Em vez disso, após a infeção inicial pelo email, uma aplicação maliciosa de HTML é descarregada e executa o plano com o mesmo objetivo. De seguida, esta aplicação recolhe informação inicial sobre o computador atacado e só depois é que descarrega e executa o VBShower, outro módulo malicioso.

O VBShower dá continuação à ameaça, eliminando as provas da presença de malware no sistema, e consulta os seus “mestres” através dos servidores de comando e controlo para decidir ações futuras. Em função do comando recebido, o malware é descarregado e executa posteriormente o PowerShower ou outra “porta traseira” conhecida de segunda etapa da Cloud Atlas.

“Na comunidade de cibersegurança, tem-se vindo a adotar como uma boa prática a partilha dos Indicadores de Compromisso (IoC) das operações maliciosas que identificamos nas nossas investigações. Esta prática permite-nos responder com rapidez às operações internacionais de ciberespionagem que estão atualmente em marcha e evitar que estas gerem danos maiores. Contudo, tal como previmos em 2016, os IoC tornaram-se obsoletos enquanto ferramenta fiável para detetar um ataque dirigido à rede. O primeiro caso começou com o ProjectSauron, que criava um conjunto de IoC único para cada uma das vítimas e que continuou a seguir a tendência de utilizar ferramentas de fonte aberta em operações de ciberespionagem, em vez de ferramentas à medida. Isto continua a verificar-se, tendo agora como exemplo recente o do malware polimorfo. Porém, não significa que seja mais difícil capturar os hackers, mas que as capacidades de cibersegurança e o kit de ferramentas dos defensores têm que evoluir em paralelo com o kit de ferramentas e com as capacidades dos hackers que perseguem”, afirma Felix Aime, Investigador de Segurança da Equipa de Análise e Investigação Global (GReAT) da Kaspersky.

Recomendado pelos leitores

Investimento em cibersegurança em Portugal deverá chegar aos 250 milhões de euros
SECURITY

Investimento em cibersegurança em Portugal deverá chegar aos 250 milhões de euros

LER MAIS

Lançada solução de assessment comportamental relacionada com cibersegurança em Portugal
SECURITY

Lançada solução de assessment comportamental relacionada com cibersegurança em Portugal

LER MAIS

Akamai adiciona novas capacidades ao Account Protector
SECURITY

Akamai adiciona novas capacidades ao Account Protector

LER MAIS

IT CHANNEL Nº 112 NOVEMBRO 2024

IT CHANNEL Nº 112 NOVEMBRO 2024

VER EDIÇÕES ANTERIORES

O nosso website usa cookies para garantir uma melhor experiência de utilização.