NetTraveler está de volta: Red Star APT retorna com novos truques
Pesquisadores anunciaram um novo vetor de ataque do NetTraveler (também conhecido como “Travnet”, “NetFile” ou Red Star APT), uma ameaça persistente avançada, que já infectou centenas de vítimas de alto nível em mais de 40 países. Os alvos já conhecidos do NetTraveler incluem ativistas tibetanos/uigures, empresas da indústria do petróleo, centros e institutos de pesquisa científica, universidades, empresas privadas, governos e instituições governamentais, além de embaixadas e empreiteiros militares.
Imediatamente após a exposição pública<https://www.securelist.com/en/blog/8105> das operações do NetTraveler em junho de 2013, os atacantes desligaram todos os sistemas de controle e comando conhecidos e mudaram sua base de operações para novos servidores na China, Hong Kong e Taiwan. Eles também continuaram os ataques sem impedimentos, como mostram os casos atuais.
Nos últimos dias, vários e-mails de ataques de phishing foram enviados a ativistas uigures. O exploit Java usado para distribuir esta nova variante do Red Star foi corrigido em junho de 2013, porém esse método de ataque teve uma taxa de sucesso muito alta. Já os ataques anteriores usaram exploits do Microsoft Office (CVE-2012-0158), uma falha que foi corrigida pela Microsoft em abril passado.
Além do uso de e-mails de phishing, os operadores do APT adotaram a técnica de watering hole (que consiste em redirecionamentos web e drive-by-download em domínios legítimos) para infectar vítimas que navegam na web.
No último mês a Kaspersky Lab interceptou e bloqueou uma série de tentativas de infecção a partir do domínio “wetstock [dot] org”, que é um site ligado a antigos ataques NetTraveler. Esses redirecionamentos parecem vir de outros sites uigures que foram comprometidos e infectados pelos atacantes NetTraveler.
O time de analistas globais da Kaspersky Lab (GReAT) prevê que outros exploits recentes poderão ser integrados e utilizados contra alvos do grupo. Os analistas listaram recomendações de segurança aos usuários para eles se mantenham a salvo de tais ataques, incluindo:
● Atualize o Java para a versão mais recente ou, se você não utiliza o Java, desinstale-o;
● Atualize o Microsoft Office para a versão mais nova;
● Atualize todos os softwares de terceiros, como o Adobe Reader
● Utilize um browser seguro, como o Google Chrome, que tem um desenvolvimento e ciclo de patching mais rápido do que o Internet Explorer.
● Tenha cuidado ao clicar em links e abrir anexos de pessoas desconhecidas.
Citações
Costin Raiu, diretor do Time de Análise e Pesquisas Globais
Kaspersky Lab
“Até agora não observamos o uso de vulnerabilidades “dia zero” pelo grupo NetTraveler. Para se defender contra esse tipo de ataque, apesar de patches ajudarem, tecnologias como Automatic Exploit Prevention e DefaultDeny podem ser bastante eficazes na luta contra ameaças persistentes avançadas “.
Para ter mais informações sobre o novo ataque NetTraveler, por favor, visite o securelist.com<https://www.securelist.com/en/blog/208214039/NetTraveler_Is_Back_The_Red_Star_APT_Returns_With_New_Tricks>.
Sobre a Kaspersky Lab
Kaspersky Lab é o maior provedor privado de solução de proteção para endpoints do mundo. A empresa ficou entre os quatro maiores fornecedores de soluções de segurança para usuários endpoint *. Durante seus mais de 15 anos de história, a Kaspersky Lab continua a ser uma empresa inovadora em segurança de computadores e fornece soluções eficazes de segurança digital para grandes empresas, PME e consumidores. A Kaspersky Lab, através da sua holding registrada no Reino Unido, opera atualmente em cerca de 200 países e territórios ao redor do mundo, fornecendo proteção para mais de 300 milhões de usuários. Para mais informações, visite http://brazil.kaspersky.com
*A empresa ganhou o quarto lugar na classificação muldial do IDC Endpoint Security Income por Fabricante, 2011. O ranking foi publicado no relatório da IDC “Previsão Global de Endpoint Security 2012-2016 e Ações de Fabricantes 2011” – (IDC nº 235930, julho de 2012). O relatório classificou os fornecedores de software de acordo com suas receitas de vendas de Endpoint Security Solutions em 2011.