Table of Contents
Atuação do APT41 e suas Táticas na Indústria de Jogos de Azar
A atuação do ator de nação cibernética APT41, também conhecido como Brass Typhoon, Earth Baku, Wicked Panda ou Winnti, tem sido marcada por uma série de ataques sofisticados que visam especialmente a indústria de jogos de azar e apostas. Um recente ataque, que se estendeu por um período de pelo menos seis meses, resultou na coleta de informações críticas da empresa-alvo, incluindo configurações de rede, senhas de usuários e segredos do processo LSASS.
“Durante a intrusão, os atacantes atualizaram continuamente seu conjunto de ferramentas com base na resposta da equipe de segurança,” afirmou Ido Naor, CEO da empresa de cibersegurança Security Joes.
Estratégias e Metodologias de Ataque
O ataque em questão não só afetou um cliente da empresa de segurança, mas também mostrou sobreposições com um conjunto de intrusão rastreado pela empresa de cibersegurança Sophos, denominado Operation Crimson Palace. As ações do APT41 demonstram uma visão metódica e uma preocupação com a furtividade, utilizando um conjunto de ferramentas personalizadas que permitem não só contornar softwares de segurança, mas também coletar informações estratégicas e estabelecer canais covertos para acesso remoto persistente.
- Recolhimento de informações durante a intrusão
- Atualização das ferramentas em resposta às ações defensivas
- Execução de ataques DCSync para coletar hashes de senhas
Acesso Inicial e Táticas de Exploração
Embora a forma exata de acesso inicial utilizada no ataque ainda seja desconhecida, evidências sugerem que pode ter sido por meio de e-mails de spear-phishing, devido à ausência de vulnerabilidades ativas em aplicativos da web voltados para a Internet. Uma vez dentro da infraestrutura alvo, os atacantes executaram um ataque DCSync, visando colher hashes de senhas de contas de serviços e administrativos.
Esses passos permitiram que os invasores estabelecessem persistência e controlassem a rede, com um foco particular em contas administrativas e de desenvolvedores. A metodologia envolveu a realização de atividades de reconhecimento e pós-exploração, enquanto ajustavam suas ferramentas de acordo com as medidas de defesa colocadas em prática.
Técnicas Utilizadas e Persistência do Ataque
As técnicas empregadas pelos atacantes são sofisticadas e diversificadas. Entre as estratégias está o uso de Phantom DLL Hijacking e a utilização do utilitário legítimo wmic.exe para ativar a execução de código malicioso.
A próxima fase do ataque envolveu um arquivo DLL malicioso chamado TSVIPSrv.dll, que é recuperado através do protocolo SMB, seguido pelo estabelecimento de contato com um servidor de comando e controle (C2) codificado.
Atualizações em Resposta a Detecção
Após a detecção de suas atividades, os atores de ameaça permaneceram em silêncio por várias semanas, mas eventualmente retornaram com uma abordagem reformulada. Isso incluiu a execução de código JavaScript altamente ofuscado em uma versão modificada de um arquivo XSL chamado “texttable.xsl”, utilizando o LOLBIN wmic.exe.
A execução do comando WMIC.exe MEMORYCHIP GET leva à carga indireta do arquivo, forçando a execução do código malicioso embutido. Este código atua como um downloader que utiliza o domínio time.qnapntp[.]com como um servidor C2 para recuperar um payload subsequente que realiza a identificação da máquina afetada e envia informações de volta ao servidor.
Implicações e Conclusões
As investigações revelaram que a filtragem de dispositivos visava especificamente aquelas máquinas com endereços IP contendo o trecho “10.20.22”. Isso indica um foco preciso dos atacantes em dispositivos que são considerados valiosos. Dessa forma, observações correlatas com logs de rede e os endereços IP dos dispositivos afetados indicam que essa estratégia de filtragem tinha o intuito de garantir que apenas dispositivos dentro do subnet da VPN fossem comprometidos.
“Essa abordagem metódica e segmentada demonstra o nível elevado de sofisticado planejamento defensivo e ofensivo dos grupos de ameaça patrocinados por estados.” – Security Joes
#APT41 #Cibersegurança #JogosDeAzar #AtaquesCibernéticos #CyberThreats #GamingIndustry #Hacking #Phishing #Infosec