A empresa investigou os passos do PittyTiger, que
ataca empresas por meio de APT
A FireEye, Inc. (NASDAQ: FEYE), atual líder em deter ciber-ataques avançados, monitorou o grupo de hackers conhecido como PittyTiger. Denunciado neste relatório, o grupo tem um modo de agir típico de uma ameaça APT (sigla em inglês para Ameaça Avançada Persistente) utilizando todos os métodos possíveis para conseguir extrair informações de seus alvos. Provavelmente baseados na China, o PittyTiger opera desde 2011, mas informações recentes levam a crer que o início de suas atividades pode ter sido em 2008. Eles têm seu próprio malware e, além disso, criam variações de outros por meio de builders, personalizando a ação criminosa.
- Nome do Host
- Nome do Usuário
- Tipo de sistema (32 ou 64 bits)
- Sistema Operacional
- Empresa
- Dono
- Portas e Processos
- Software em execução
- Software instalado
- Configurações de rede
- Backdoor.APT.Colt (a.k.a. CT RAT) – comunmente usado como um backdoor de segundo estágio. O comportamento da amostra é similar ao antigo PittyTiger, mas de maneira distinta. Os invasores o rotularam como PittyTiger v. 1.3 e usam uma interface que mostra informação do sistema associada com um computador comprometido e dá ao atacante remote Shell.
- Backdoor.APT.PittyTiger – este é um clássico malware “PittyTiger” (PittyTigerV1.0) que foi usado ostensivamente pelo grupo em 2012 e 2013. Este malware permite ao invasor usar um remote Shell, upload e download de arquivos e captura de tela.
- Backdoor.APT.Lurid (a.k.a. MM RAT / Troj/Goldsun-B) – é uma variante do malware Enfal/Lurid que é usado por vários grupos diferentes desde 2006. Esta variante tem a mesma função, mas os nomes de arquivo mudaram. A FireEye observou que o malware Enfal/Lurid é usado desde 2011 e em conjunto com o Backdoor.APT.Pgift como transportador do documento malicioso usado em ataques spearphishing.
- Variações do Gh0st – o relatório da Cassidian Cyber Security revela que os invasores também usaram variações do Gh0st, um RAT (Remote Administration Tool) bem conhecido e usado por muitos atacantes. Essas variações são conhecidas como Paladin RAT e Leo RAT.
- PoisonIvy – o grupo usou o malware Poison Ivy durante 2008 e 2009. A empresa analisou amostras que conectam os nomes de domínios usados pelo grupo. As amostras foram compiladas em 2008 e 2009 (uma delas com uma compilação de 2008 enviada ao VirusToral no mesmo ano levando a crer que as marcas de hora não foram alteradas).
A FireEye inventou uma plataforma de segurança baseada em máquina virtual especialmente construída para fornecer proteção contra ameaças em tempo real para empresas e governos no mundo inteiro contra a próxima geração de ataques cibernéticos. Esses ataques altamente sofisticados podem facilmente contornar defesas tradicionais baseadas em assinatura, tais como firewalls de próxima geração, IPS, anti-vírus e gateways. A Plataforma de Prevenção de Ameaças da FireEye (FireEye Threat Prevention Platform) fornece, em tempo real, proteção contra ameaças dinâmicas sem o uso de assinaturas para proteger uma organização em todos os vetores de ameaças primárias e nas diferentes etapas do ciclo de vida de um ataque. O núcleo da plataforma FireEye é um engine de execução virtual, complementado pela inteligência de ameaça dinâmica, para identificar e bloquear ataques cibernéticos em tempo real. A FireEye tem mais de 2.200 clientes em mais de 60 países, incluindo mais de 130 no Fortune 500.