Dispositivos Windows inseguros foram atacados por hackers chineses
veja sobre Windows inseguros foram atacados
Novas variedades de malware, funções do Windows raramente usadas e uma “cadeia de infecção complexa” foram descobertas em um novo esforço de espionagem que está em execução há pelo menos três anos.
APT 41, BARIUM, ou Blackfly, um ator patrocinado pelo Estado chinês, tem como alvo várias empresas de tecnologia e manufatura na América do Norte, Europa e Ásia desde pelo menos 2019, de acordo com o relatório da empresa.
Dados como propriedade intelectual desenvolvida pela vítima, documentos confidenciais, projetos, esquemas, fórmulas e dados proprietários relacionados à fabricação foram direcionados para exfiltração. Acredita-se que centenas de terabytes de inteligência importante tenham sido roubados pelos atacantes.
Abuso como este é bastante incomum
Eles conseguiram mapear as redes, a estrutura organizacional e os endpoints de suas vítimas graças a esses dados. Se eles decidissem levar as coisas adiante, isso lhes daria uma vantagem (por exemplo, com ransomware).
O ator de ameaças persistentes avançado Winnti usou malware anteriormente conhecido (Spyder Loader, PRIVATELOG e WINNKIT), bem como um novo malware (DEPLOYLOG) em sua campanha. Ator de ameaça persistente avançado Winnti
Os pesquisadores disseram que os invasores usaram um uso indevido “raramente conhecido” do recurso Windows CLFS para espalhar o vírus. Mecanismos Windows CLFS (Common Log File System) e manipulações de transações NTFS podem ter sido usados para disfarçar a carga útil e evitar a detecção por soluções de segurança.
Um observador comparou a entrega da carga útil a um “castelo de cartas” porque era “intrincado e interconectado”. Consequentemente, era impossível para os pesquisadores isolar e examinar cada componente.
No entanto, eles conseguiram juntar as peças e alegar que o malware Winnti inclui Spyder, um backdoor modular altamente sofisticado, STASHLOG (a ferramenta de implantação inicial que “esconde” cargas no Windows CLFS), SPARKLOG (extrai e implanta PRIVATELOG para escalar privilégios e alcançar persistência no endpoint de destino) e PRIVATELOG (extrai e implanta DEPLOYLOG) como parte de seu arsenal de malware. Eles também afirmam que o Win (implanta o rootkit WINNKIT). O rootkit de nível de kernel do Winnti, WINNKIT, completa a lista de ameaças.