Energetic Bear

O Energetic Bear é um grupo de hackers considerado um APT (Ameaça Persistente Avançada). Esse grupo de hackers também é conhecido sob outros dois pseudônimos - Crouching Yeti e Dragonfly. O Energetic Bear tende a ter como alvo o pessoal de alto escalão no setor industrial, bem como no setor de energia. O grupo Energetic Bear geralmente muda sua região de preferência ao longo do tempo. Em geral, a maioria de suas metas está concentrada nos EUA e na Europa, mas em 2016 e 2017, a maioria de seus esforços está concentrada na Turquia.

A Maioria dos Alvos Operam nos Setores Industrial e de Energia

O Energetic Bear tende a usar uma ampla variedade de técnicas ofensivas, juntamente com métodos altamente criativos de entregar seu malware aos alvos pretendidos. É comum a Energetic Bear comprometer um servidor e transformá-lo em um host corrompido, que propagaria código executável para ser executado nos sistemas dos usuários que visitam o site comprometido. Isso também é conhecido como um ataque de watering hole. Outra técnica de ataque usada pela Energetic Bear está usando sistemas comprometidos como parte da sua infraestrutura de C&C (Comando e Controle). Esses dispositivos seqüestrados são utilizados para descarregar dados e logs coletados.

Ferramentas usadas pelo Energetic Bear

O grupo Energetic Bear emprega uma lista de soluções de software publicamente disponíveis:

• Subbruto.
• Impacket.
• PHPMailer.
• Commix.
• Wpscan.
• Sublist3r.
• Sqlmap.
• Nmap.
• SMBTrap.
• Dirsearch.

O grupo Energetic Bear usa o aplicativo Wpscan para detectar possíveis vulnerabilidades, que podem estar presentes em sites remotos do WordPress. Para localizar quaisquer dados no protocolo SMB, o grupo de hackers emprega a ferramenta SMBTrap. O mesmo aplicativo pode ser usado para coletar o hash NTML da senha da vítima. Se forem bem-sucedidos nesse empreendimento, os atacantes poderão executar ataques pass-has-hash posteriormente.

O Energétic Bear Usa PHP eShells nas Suas Campanhas

Quando o Energetic Bear consegue comprometer um host, eles podem plantar Web shells específicos (PHP) neles, desde que o sistema esteja conectado à Internet. O principal objetivo desses shells PHP é permitir que seus operadores executem comandos remotos na máquina infectada. Isso permite que os atacantes obtenham controle quase completo sobre o sistema comprometido. Ao estudar um arquivo PHP vinculado às operações do Energetic Bear, os pesquisadores de segurança cibernética descobriram que os invasores provavelmente estão usando campanhas de email de phishing para propagar malware.

Os especialistas em malware consideram o grupo Energetic Bear bastante intrigante porque, em vez de criar malware ou comprar ferramentas de hackers prontamente disponíveis, esses indivíduos optaram por confiar em software legítimo para suas campanhas ameaçadoras.