{"id":18984,"date":"2021-09-15T17:06:39","date_gmt":"2021-09-15T20:06:39","guid":{"rendered":"https:\/\/www.ethicalhacker.com.br\/site\/?p=18984"},"modified":"2021-09-15T17:06:41","modified_gmt":"2021-09-15T20:06:41","slug":"especialistas-vinculam-ataques-de-malware-do-sidewalk-ao-grayfly-chinese-hacker-group","status":"publish","type":"post","link":"https:\/\/www.ethicalhacker.com.br\/site\/2021\/09\/exploits\/especialistas-vinculam-ataques-de-malware-do-sidewalk-ao-grayfly-chinese-hacker-group\/","title":{"rendered":"Especialistas vinculam ataques de malware do Sidewalk ao Grayfly Chinese Hacker Group"},"content":{"rendered":"\n<p style=\"text-align: justify;\"><span><span class=\"\">Uma backdoor anteriormente n\u00e3o documentada que foi encontrada recentemente como alvo de uma empresa de varejo de computadores n\u00e3o identificada com base nos Estados Unidos, foi associada a uma opera\u00e7\u00e3o de espionagem chinesa de longa data apelidada de Grayfly.<\/span><\/span><\/p>\n<p>\u00a0<\/p>\n<p style=\"text-align: justify;\"><span><span class=\"\">No final de agosto, a empresa Eslov\u00e1quia de seguran\u00e7a cibern\u00e9tica ESET <\/span><\/span><span><span class=\"\">divulgou<\/span><\/span><span><span class=\"\"> detalhes de um implante chamado SideWalk, que \u00e9 projetado para carregar plugins arbitr\u00e1rios enviados de um servidor controlado por invasor, reunir informa\u00e7\u00f5es sobre processos em execu\u00e7\u00e3o nos sistemas comprometidos e transmitir os resultados de volta ao servidor remoto .<\/span><\/span><\/p>\n<pre id=\"tw-target-text\" class=\"tw-data-text tw-text-large XcVN5d tw-ta\" data-placeholder=\"Tradu\u00e7\u00e3o\"><span class=\"Y2IQFc\" lang=\"pt\">\u00a0<\/span><\/pre>\n<p style=\"text-align: justify;\"><span>A empresa de seguran\u00e7a cibern\u00e9tica atribuiu a intrus\u00e3o a um grupo que rastreia como SparklingGoblin, um advers\u00e1rio que acredita-se estar conectado \u00e0 fam\u00edlia de malware Winnti (tamb\u00e9m conhecida como APT41).<\/span><\/p>\n<div class=\"ad_two clear\" style=\"text-align: justify;\"><center class=\"cf\">\n<div id=\"967ecfad-bf6b-429e-9a39-9770c8b7d188\" class=\"_ap_apex_ad\">\u00a0<\/div>\n<\/center><\/div>\n<p style=\"text-align: justify;\"><span><span class=\"\">Mas a \u00faltima pesquisa publicada por pesquisadores da Symantec da Broadcom fixou o backdoor do SideWalk no grupo de espionagem ligado \u00e0 China, apontando as sobreposi\u00e7\u00f5es do malware com o malware Crosswalk mais antigo, com as \u00faltimas atividades de hacking do Grayfly destacando v\u00e1rias organiza\u00e7\u00f5es no M\u00e9xico, Taiwan, os EUA e o Vietn\u00e3.<\/span><\/span><\/p>\n<p>\u00a0<\/p>\n<p style=\"text-align: justify;\"><span>&#8220;Uma caracter\u00edstica desta campanha recente foi que um grande n\u00famero de alvos estava no setor de telecomunica\u00e7\u00f5es. O grupo tamb\u00e9m atacou organiza\u00e7\u00f5es nos setores de TI, m\u00eddia e finan\u00e7as&#8221;, <\/span><span>conforme a<\/span><span> equipe do Threat Hunter da Symantec em um artigo publicado na quinta-feira.<\/span><\/p>\n<p>\u00a0<\/p>\n<p style=\"text-align: justify;\"><span>Conhecido por estar ativo pelo menos desde mar\u00e7o de 2017, Grayfly funciona como o &#8220;bra\u00e7o de espionagem do APT41&#8221; que \u00e9 not\u00f3rio por ter como alvo uma variedade de ind\u00fastrias em busca de dados confidenciais, explorando servidores da web Microsoft Exchange ou MySQL voltados publicamente para instalar shells da web para invas\u00e3o inicial, antes de se espalhar lateralmente pela rede e instalar backdoors adicionais que permitem ao agente da amea\u00e7a manter o acesso remoto e exfiltrar as informa\u00e7\u00f5es acumuladas.<\/span><\/p>\n<p>\u00a0<\/p>\n<div class=\"ad_two clear\" style=\"text-align: justify;\"><center class=\"cf\">\n<div id=\"8c2d7f94-a9c5-43b2-83a4-cdcf711ae05e\" class=\"_ap_apex_ad\">\u00a0<\/div>\n<\/center><\/div>\n<p style=\"text-align: justify;\"><span>Em um caso observado pela Symantec, a atividade cibern\u00e9tica mal-intencionada do advers\u00e1rio come\u00e7ou com o objetivo de um servidor Microsoft Exchange acess\u00edvel pela Internet para obter uma posi\u00e7\u00e3o inicial na rede. Em seguida, executou-se uma sequ\u00eancia de comandos do PowerShell para instalar um shell da web n\u00e3o identificado, o que levou \u00e0 implanta\u00e7\u00e3o do backdoor Sidewalk e uma variante personalizada da ferramenta de despejo de credenciais Mimikatz que foi usada em ataques Grayfly anteriores.<\/span><\/p>\n<p>\u00a0<\/p>\n<p style=\"text-align: justify;\"><span>Nenhuma atividade subsequente foi observada al\u00e9m deste ponto, observou a empresa.<\/span><\/p>\n<p style=\"text-align: justify;\"><span>&#8220;Grayfly \u00e9 um ator capaz e provavelmente continuar\u00e1 a representar um risco para as organiza\u00e7\u00f5es na \u00c1sia e na Europa em uma variedade de setores, incluindo telecomunica\u00e7\u00f5es, finan\u00e7as e m\u00eddia&#8221;, afirmaram os pesquisadores. &#8220;\u00c9 prov\u00e1vel que este grupo continue a desenvolver e melhorar suas ferramentas personalizadas para aprimorar as t\u00e1ticas de evas\u00e3o, juntamente com o uso de ferramentas comuns, como exploits publicamente dispon\u00edveis e shells da web para ajudar em seus ataques.&#8221;<\/span><\/p>\n<p>\u00a0<\/p>\n<p>Este artigo \u00e9 uma tradu\u00e7\u00e3o de: <a href=\"https:\/\/thehackernews.com\/2021\/09\/experts-link-sidewalk-malware-attacks.html\" target=\"_blank\" rel=\"noopener\">https:\/\/thehackernews.com\/2021\/09\/experts-link-sidewalk-malware-attacks.html<\/a><\/p>\n\n\n","protected":false},"excerpt":{"rendered":"<p>Uma backdoor anteriormente n\u00e3o documentada que foi encontrada recentemente como alvo de uma empresa de varejo de computadores n\u00e3o identificada com base nos Estados Unidos, foi associada a uma opera\u00e7\u00e3o de espionagem chinesa de longa data apelidada de Grayfly. \u00a0 No final de agosto, a empresa Eslov\u00e1quia de seguran\u00e7a cibern\u00e9tica ESET divulgou detalhes de um [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":18986,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[89,100,21,105,99],"tags":[],"class_list":["post-18984","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-basico","category-diversos","category-exploits","category-noticias","category-novidades"],"_links":{"self":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/18984","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/comments?post=18984"}],"version-history":[{"count":2,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/18984\/revisions"}],"predecessor-version":[{"id":18987,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/18984\/revisions\/18987"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media\/18986"}],"wp:attachment":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media?parent=18984"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/categories?post=18984"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/tags?post=18984"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}