titulo

titulo

Um grupo secreto de espionagem cibernética está usando sites comprometidos junto com emails de spear phishing para entregar um trojan backdoor a organizações no Japão com o intuito de roubar informações sensíveis e tecnologias privadas. O grupo permaneceu indetectável por pelo menos dez anos.

A empresa de segurança Symantec descobriu o grupo em Julho de 2015, após detectar que alguns dos sites comprometidos estarem entregando o Gofarer malware através de ataques de download direcionados e um exploit Flash, que por sua vez iria baixar e instalar o Daserf backdoor. Os pesquisadores de segurança também dizem que o grupo, por vezes, usa campanhas de spear phishing que entregaram arquivos como anexos de emails, que quando abertos apresentam a influência do CVE-2014-4114, a Vulnerabilidade do Microsoft Office para instalar o Daserf backdoor.

Até o presente momento o grupo nomeado Tick, pela Symantec, estava seguindo um padrão comum visto na maioria das campanhas de espionagem cibernética. As coisas se tornaram interessantes após pesquisadores encontrarem evidências das atividades do grupo remontando a dez anos atrás. Os especialistas de segurança dizem o que o grupo Tick está muito ativo, mas muito cauteloso em não ser pego. A evidência disto reside na campanha mais recente de downloads direcionados, que mesmo infectando um grande número de usuários que acessaram os sites comprometidos, o grupo se certifica de usar o backdoor apenas nos alvos que esta visando.

De acordo com a Symantec, o grupo possui uma propensão por negócios japoneses e visou ao menos sete companhias nos setores de tecnologia, de engenharia aquática e de transmissões. Todos os malwares do grupo Tick são customizados, e em alguns ataques, o grupo até mesmo foi a grandes empreitadas, para assinar digitalmente o Daserf com certificados roubados para se assegurar que suas atividades maliciosas não sejam percebidas.

Em Modus Operandi padrão, o grupo armazena seus malwares em servidores comprometidos e mantêm os servidores de Comando e Controle (C&C) em uma infraestrutura separada, mesmo que em alguns casos a Symantec tenha encontrado servidores de C&C em sites comprometidos. Essas ocorrências são raras. Outro detalhe estranho sobre as atividades do grupo é o fato de os criminosos tenderem a reunir o seu malware primeiro, e apenas alguns dias depois registrar os domínios no qual o malware funcionará. O fato demonstra que o grupo está operando um plano bem delineado, e algumas operações são planejadas com antecedência, informa o site softpedia.com.

De forma a evitar a detecção, o Daserf, do grupo Tick, também usa uma técnica não padrão para backdoors. Ao invés de enviar os dados ao servidor de C&C tão logo quanto o detecte, o malware o armazena localmente dentro de um arquivo RAR protegido por senha. Joe Di Maggie, da Symantec explica: “O Tick parece ser um grupo bem organizado, com o financiamento e a capacidade de desenvolver e atualizar os seus malwares. O grupo exibe todos os traços de um grupo de espionagem cibernética avançada. A longa duração do grupo, assim como o consistente ataque contra alvos determinados de indústrias específicas, suporta essa teoria”.

fonte:

http://news.softpedia.com/news/tick-cyber-espionage-group-targets-japanese-companies-with-daserf-backdoors-503555.shtml
http://i1-news.softpedia-static.com/images/news2/tick-cyber-espionage-group-targets-japanese-companies-with-daserf-b