RedLeaves
Tem havido inúmeros relatos de um APT (Advanced Persistent Threat) operando na China que é conhecido como o Stone Panda. Este grupo também atende pelos nomes APT10 e HOGFISH. Este é um grupo de hackers que usa um RAT (Remote Access Trojan) conhecido como RedLeaves para realizar seu ataque. Devido aos ataques em que este grupo esteve envolvido, é muito provável que o grupo seja patrocinado ou apoiado pelo governo chinês. Esses grupos de hackers patrocinados pelo Estado não são raros e se tornaram uma parte básica da espionagem internacional e do conflito atual. O RedLeaves tem sido associado a vários ataques APT10, incluindo ataques a empresas e políticos localizados na Noruega e no Japão em favor de interesses chineses. Nesses ataques, as vítimas recebiam mensagens de e-mail de spear phishing que eram usadas para entregar o RedLeaves ao dispositivo da vítima.
Índice
Como o RedLeaves Infecta um Dispositivo
Vítimas de ataques envolvendo o RedLeaves recebem mensagens de e-mail de spear phishing que são usadas para realizar a infecção. Os criminosos que executaram os ataques criaram mensagens de e-mail convincentes disfarçadas de notificações legítimas do governo ou de empresas, destinadas a enganar a vítima para que ela abrisse um anexo de arquivo. Esses e-mails foram criados para parecer que foram enviados por uma entidade legítima ou pessoa conhecida da vítima, o que torna mais provável que as vítimas abaixem a guarda e abram o arquivo corrompido. Os e-mails ofensivos geralmente contêm documentos do Microsoft Office como anexos de arquivos. Esses documentos exploram uma vulnerabilidade conhecida que envolve o uso de scripts de macro corrompidos para executar um código incorreto e instalar malware no computador da vítima. Esses arquivos armados do Microsoft Office se tornaram uma tática comum para entregar malware.
Como o RedLeaves Realiza o Seu Ataque
Depois que o RedLeaves for instalado no computador da vítima, o RedLeaves tentará ganhar persistência. A persistência ocorre quando uma ameaça de malware altera as configurações em um dispositivo infectado para garantir que a ameaça de malware seja lançada toda vez que o dispositivo infectado for inicializado ou reinicializado. A maioria das ameaças de malware desse tipo obtém persistência ao fazer alterações no registro do Windows. O RedLeaves faz alguma diferença, adicionando arquivos LNK (arquivos de atalho) ao diretório de inicialização do Windows, garantindo que o RedLeaves seja iniciado quando o Windows for inicializado. Uma vez que o RedLeaves atinja a persistência, o RedLeaves se conectará aos seus servidores de Comando e Controle. É assim que os criminosos se comunicam com o RedLeaves enviando informações e instruções de configuração e recuperando dados sobre o dispositivo infectado.
Como os Criminosos Usam o RedLeaves para Comprometer um Dispositivo e ColetarDados
RedLeaves tem um número bastante limitado de recursos. No entanto, eles são suficientes para permitir que o RedLeaves realize ataques efetivos ao computador da vítima.. A seguir estão os recursos que os pesquisadores de segurança do PC determinaram estarem presentes no RedLeaves RAT:
- O RedLeaves pode ser usado para realizar operações de arquivo em um dispositivo, como iniciar, renomear e excluir arquivos.
- O RedLeaves pode ser usado para executar comandos do shell no dispositivo infectado.
- O RedLeaves pode configurar como se comunica com seu servidor de Comando e Controle.
- O RedLeaves pode enviar informações sobre o dispositivo infectado, como as unidades e a configuração do sistema.
- O RedLeaves pode ser usado para fazer upload de arquivos para o dispositivo infectado (permitindo que os invasores instalem outro malware).
- O RedLeaves pode ser usado para baixar arquivos do dispositivo infectado (permitindo que os invasores coletem dados).
- O RedLeaves pode executar uma função de proxy no dispositivo, permitindo que o computador infectado seja usado como um proxy ao estabelecer uma conexão.
- O RedLeaves pode tirar screenshots do dispositivo infectado, permitindo que os atacantes monitorem o alvo.
