Os pesquisadores descobriram diferentes combina\u00e7\u00f5es de TTP com base em sua linha do tempo, entrega, persist\u00eancia e cargas \u00fateis e as combinaram em 8 variantes principais, conforme listado abaixo neste artigo.<\/p>\n
<\/p>\n
Cada variante de ataque come\u00e7ou com um e-mail cl\u00e1ssico de spear-phishing contendo um documento malicioso projetado para executar macros e explorar vulnerabilidades conhecidas para instalar um backdoor nas m\u00e1quinas das v\u00edtimas e obter acesso total aos sistemas.<\/p>\n
![\"hacking-tools\"](\"https:\/\/1.bp.blogspot.com\/-dSGt1Gh3lrU\/XZR9CkZ7ojI\/AAAAAAAA1UM\/4NAakwPjXMkik3eSk_44QTAyyK26RQJdQCLcBGAsYHQ\/s728-e100\/hacking-tools.jpg\" "\\"hacking-tools\\"")
\nA maioria dos documentos de entrega desta campanha continha t\u00f3picos leg\u00edtimos relacionados ao governo, como instru\u00e7\u00f5es para funcion\u00e1rios do governo, cartas oficiais, comunicados de imprensa, pesquisas e muito mais, pareciam ter sido enviados por outros funcion\u00e1rios do governo.<\/p>\n
Curiosamente, como parte da cadeia de infec\u00e7\u00e3o, na maioria das campanhas, os atacantes tamb\u00e9m trazem seus pr\u00f3prios execut\u00e1veis leg\u00edtimos, assinados e confi\u00e1veis dos principais produtos antiv\u00edrus para carregar lateralmente arquivos DLLs maliciosos (biblioteca de v\u00ednculo din\u00e2mico) para evitar a detec\u00e7\u00e3o, especialmente de produtos de monitoramento comportamental.<\/p>\n
![\"hacking\"](\"https:\/\/1.bp.blogspot.com\/-knvIxVUDlfg\/XZR9UTV0GII\/AAAAAAAA1UU\/eQrJsQFU_vIAKp8kLCptjyal_fTZuGNqQCLcBGAsYHQ\/s728-e100\/hacking.jpg\" "\\"hacking\\"")
\nComo mostrado nas ilustra\u00e7\u00f5es acima, os execut\u00e1veis leg\u00edtimos abusados pertencem a produtos antiv\u00edrus, incluindo um componente do antiv\u00edrus Avast, do agente BitDefender e do Windows defender.<\/p>\n
<\/p>\n
Embora as cadeias de ataque envolvam atividades sem arquivo, como o uso de macros VBA, c\u00f3digo do PowerShell e ferramentas internas leg\u00edtimas do Windows, esta campanha n\u00e3o foi projetada para alcan\u00e7ar uma abordagem sem arquivo, conforme os pesquisadores disseram ao The Hacker News que outras partes da campanha exp\u00f5em atividades maliciosas para o sistema de arquivos.
\n“At\u00e9 o momento, n\u00e3o vimos um ataque t\u00e3o persistente a um governo; os mesmos ataques foram direcionados por sete meses. Acreditamos que o governo dos EUA deva tomar nota”, alertaram os pesquisadores quando as elei\u00e7\u00f5es americanas est\u00e3o pr\u00f3ximas.<\/p>\n
“Para atacar o governo dos EUA, esses hackers chineses n\u00e3o precisariam mudar muito, exceto fabricar seus documentos de atra\u00e7\u00e3o em ingl\u00eas e incluir temas que acionariam o interesse da v\u00edtima para que a v\u00edtima abrisse o arquivo”.<\/p>\n
<\/p>\n
O grupo de hackers Rancor j\u00e1 havia sido encontrado atacando o Camboja e Cingapura e continuou suas opera\u00e7\u00f5es contra entidades na regi\u00e3o do Sudeste Asi\u00e1tico e, desta vez, o grupo dedicou sete meses de seu esfor\u00e7o para atingir o setor governamental do Sudeste Asi\u00e1tico.<\/p>\n
<\/p>\n
“Esperamos que o grupo continue evoluindo, alterando constantemente seus TTPs da mesma maneira que observamos ao longo da campanha, al\u00e9m de impulsionar seus esfor\u00e7os para contornar os produtos de seguran\u00e7a e evitar a atribui\u00e7\u00e3o”, concluem os pesquisadores.<\/p>\n
<\/p>\n
Para saber mais sobre o grupo Rancor e sua campanha mais recente, acesse o relat\u00f3rio da CheckPoint intitulado:<\/p>\n
“Rancor: o ano do Phish”.<\/strong><\/p>\n https:\/\/research.checkpoint.com\/rancor-the-year-of-the-phish\/<\/a><\/p>\n <\/p>\n