ANEL
O ANEL é uma ameaça de malware usada pelo Stone Panda. Este é um APT (Advanced Persistent Threat), um grupo criminoso que realiza ataques de malware e operações de espionagem online. O Panda de Pedra também é conhecido como APT10 e ChessMaster. Este APT opera na China e é muito provavelmente patrocinado pelo governo chinês. As principais metas da ANEL parecem ser instituições governamentais e grandes empresas, e seus ataques se alinharão com os interesses nacionais chineses com frequência. O ANEL é apenas uma das muitas ameaças de malware e ferramentas de hacking que foram associadas a este APT. O ANEL é um Trojan de backdoor, uma ameaça de malware projetada para permitir que esses criminosos tenham acesso a um dispositivo, geralmente para instalar outros malwares, como um RAT (Remote Access Trojan). RATs típicos que foram associados a este APT e possivelmente com infiltração de ANEL incluem ChChes e RedLeaves .
Como o ANEL e Ameaças Semelhantes são Entregues
Campanhas envolvendo o ANEL parecem usar e-mails de spear phishing projetados para comprometer os alvos do ataque especificamente. Esses e-mails são criados pessoalmente, para comprometer um indivíduo específico e geralmente serão criados aproveitando as informações coletadas sobre o destino específico. O objetivo principal desses e-mails é enganar a vítima para abrir um anexo de arquivo corrompido. Os anexos de arquivos usados para entregar o ANEL à vítima podem ter a forma de documentos do Microsoft Office que usam scripts de macros embutidos para baixar e instalar o ANEL no computador da vítima. Esses são métodos muito comuns de entrega de malware que foram associados a várias campanhas de malware e não especificamente a esse APT. No entanto, os e-mails de phishing associados a essa campanha de malware são impressionantes no modo como são criados e podem ser altamente eficazes. A seguir, exemplos de assuntos de e-mail de phishing e nomes de arquivos que foram vinculados a essa campanha, fazendo referência a problemas japoneses e novos normalmente:
World 経 済 (economia mundial)
Economic 済 政策 (política econômica)
要求 算 概算 要求 (solicitação de estimativa de orçamento)
話 米 対 話 (diálogo Japão-EUA)
Re 倍 再 任 (re-nomeação do primeiro-ministro Abe)
網 網 (rede de contatos)
案 採用 案 (plano de recrutamento de pessoal)
会議 (reunião)
Essas técnicas podem ser usadas para realizar inúmeros ataques e foram associadas a pelo menos duas vulnerabilidades no sistema operacional Windows: CVE-2017-8759 e CVE-2017-11882. Embora essas vulnerabilidades tenham sido corrigidas, isso deixa claro que é crucial instalar todas as atualizações de software e patches de segurança para evitar esses ataques.
Como o ANEL Realiza o Seu Ataque
O ANEL faz alterações no Registro do dispositivo infectado, permitindo que o ANEL seja iniciado automaticamente quando o dispositivo infectado é inicializado. O ANEL estabelece uma conexão com um servidor de Comando e Controle, fornecendo informações sobre o dispositivo infectado e recebendo informações de seus controladores. A seguir, alguns exemplos das informações que o ANEL transmite sobre dispositivos infectados:
Nome de usuário.
Aplicativos instalados.
Processos em execução.
Versão do sistema operacional.
Informações de hardware.
Grupo de trabalho
Geralmente, o APT que realiza ataques ANEL usa essas informações para determinar se deseja continuar para a próxima etapa da campanha de malware. Os invasores podem usar o ANEL para instalar malwares adicionais, normalmente um RAT, projetados para assumir o controle de um dispositivo infectado e controlá-lo remotamente. A próxima etapa da campanha de malware pode ser coletar dados, senhas e credenciais de login, possivelmente monitorando o dispositivo da vítima e o ambiente do dispositivo. Os usuários de computador são solicitados a tomar medidas para proteger seus dispositivos com um software de segurança forte. Também é importante certificar-se de lidar com mensagens de e-mail e anexos de e-mail com segurança, já que eles geralmente são usados para fornecer essas ameaças de malware.
