Em sua primeira edição do novo relatório Threat Horizons, o Google, entre outras ameaças cibernéticas detectadas, mencionou hackers norte-coreanos patrocinados pelo estado que empregaram uma pequena tática simples fingindo ser recrutadores da Samsung. Atores de ameaças fizeram ofertas de emprego falsas para funcionários de empresas de segurança sul-coreanas que vendem software anti-malware.
Esses e-mails falsos, além do texto da própria mensagem, continham um anexo em PDF. No entanto, os hackers malformaram os PDFs para que não abrissem em um leitor de PDF padrão. No caso de a vítima potencial reclamar que o arquivo não abre, os hackers também forneceriam a eles um aplicativo supostamente “Secure PDF Reader”. O link redirecionou os desavisados para um arquivo, versão modificada de PDFTron. Os hackers alteraram especificamente este leitor de pdf para instalar um trojan backdoor nos computadores da vítima.
Codinome “Zinco”, o mesmo grupo conduziu ataques anteriores a pesquisadores de segurança
O Grupo de Análise de Ameaças do Google pensa que é o mesmo grupo de hackers que antes tinha como alvo diferentes pesquisadores de segurança, principalmente no Twitter e outras redes sociais tarde 2020 e por toda parte 2021. Identificados pelo Google sob o codinome “Zinco”, eles surpreenderam bastante os especialistas em segurança cibernética com suas táticas. De acordo com o mesmo relatório, não é a primeira vez que os agentes de ameaças usam um leitor de PDF malformado. No ano passado, hackers tentaram usar a versão alterada do SumatraPDF para descriptografar e soltar um implante. Eles também adicionaram PE legítimo que foram incorporados ao próprio visualizador. Especialistas em segurança cibernética observam que viram recentemente outros grupos de ameaças usando uma técnica semelhante de entrega de um visualizador de PDF malicioso para visualizar PDFs malformados.
O relatório se baseia nos dados de inteligência de ameaças do Threat Analysis Group, Google Cloud Threat Intelligence para Chronicle, Confiança e segurança, e outras equipes internas. O Google planeja os outros relatórios de inteligência de ameaças futuras que cobrirão o rastreamento de tendências, varredura do horizonte de ameaças e anúncios de alerta precoce sobre ameaças emergentes que exigem ação imediata.
Além do grupo de hackers norte-coreano, a primeira edição de Horizontes de Ameaça relatórios também sobre sinais de atividade do BlackMatter, fraudadores que usam o novo TTP para abusar dos recursos da nuvem e o grupo de ameaças russo APT28 Fancy Bear lançando campanha de phishing no Gmail. O relatório trouxe à tona o fato detectado de instâncias comprometidas do Google Cloud que os agentes de ameaças usaram para mineração de criptomoedas, também. Para cada caso, a TAG forneceu possíveis soluções de mitigação de risco para os clientes do Google.
A primeira edição do Threat Horizons do Google cobre uma quantidade significativa de dados
Para cada vulnerabilidade explorada, o Threat Horizons fornece a porcentagem de instâncias que são as seguintes:
Na maioria dos casos, os atores da ameaça tentaram bombear tráfego para o Youtube e obter lucro com a mineração de criptomoedas. Para as ações resultantes após o acordo, a porcentagem é a próxima:
TAG também observou que os totais não somam 100% já que algumas instâncias comprometidas foram usadas para realizar várias atividades maliciosas.