Detecção do Ataque Actor240524: Novo Grupo APT Alvo de Diplomatas Israelenses e Azerbaijaneses Usando Malware ABCloader e ABCsync
Índice:
Os defensores descobriram um novo grupo APT denominado Actor240524, que aplica um kit de ferramentas avançado para evitar detecção e obter persistência. No início de julho de 2024, os adversários realizaram uma campanha de spear-phishing contra diplomatas do Azerbaijão e de Israel. Os atacantes usaram um documento malicioso do Word com conteúdo em azeri, disfarçado de documentação oficial projetada para roubar dados sensíveis dos usuários alvo.
Detectar Atividade Maliciosa do Actor240524
O aumento contínuo dos ataques de phishing contra organizações em diversos setores industriais continua sendo um obstáculo significativo para os defensores cibernéticos. O uso de tecnologias de IA para fins ofensivos contribuiu para este desafio, levando a um aumento surpreendente de 856% em e-mails maliciosos em 2024 e intensificando o problema. A Plataforma SOC Prime para defesa cibernética coletiva equipa as equipes de segurança com um conjunto de algoritmos de detecção enriquecidos com contexto para ajudar a impedir ataques de phishing emergentes, incluindo conteúdo abordando a recente campanha de spear-phishing pelo novo Grupo APT, Actor240524.
Clique no Explore Detections botão para acessar as detecções relevantes filtradas pela tag personalizada “Actor240524”. Todas as regras Sigma são compatíveis com tecnologias SIEM, EDR e Data Lake líderes da indústria, alinhadas ao framework MITRE ATT&CK®, e enriquecidas com inteligência de ameaças personalizada.
Os engenheiros de segurança também podem obter toda a coleção de conteúdo SOC para detectar atividades maliciosas associadas a ataques APT clicando neste link.
Análise do Ataque Actor240524
Pesquisadores dos NSFOCUS Security Labs identificaram recentemente uma campanha de spear-phishing contra diplomatas israelenses e azeris, usando arquivos Word disfarçados de documentos oficiais e com código macro prejudicial incorporado. A análise dos TTPs dos atacantes não descobriu ligação com nenhum grupo APT conhecido, permitindo que os defensores rastreiem a nova atividade adversária como Actor240524.
A campanha ofensiva parece estar focada na relação cooperativa entre as duas nações, especificamente visando o pessoal diplomático de ambos os países através de um vetor de ataque de phishing. A operação do Actor240524 empregou programas Trojan recentemente desenvolvidos, identificados como ABCloader e ABCsync, para roubar dados sensíveis enquanto evitava a detecção.
A cadeia de infecção começa com um documento Word de phishing armado contendo imagens borradas. Clicar aciona um código macro, que usa o programa VBA incorporado para decodificar e salvar a carga maliciosa em um caminho específico e executar o ABCloader. Uma vez executado, o ABCloader leva à descriptografia e liberação de três arquivos executáveis e, em seguida, carrega um DLL, o malware ABCsync. Este se conecta ao servidor C2 para executar as tarefas correspondentes e espalhar a infecção.
O malware ABCsync serve como a carga de ataque principal, com funções principais incluindo a execução de shells remotos, alteração de dados do usuário e roubo de arquivos do usuário do sistema comprometido. Ambos os Trojans usam técnicas de evasão de detecção persistente, incluindo criptografia de elementos-chave como strings e chamadas de API. Além disso, eles monitoram ativamente o ambiente de processo para sinais de depuração, como o campo BeingDebugged e NtGlobalFlag, e utilizam NtQueryInformationProcess para detectar estados de depuração, efetivamente combatendo esforços de análise antimalware.
O Actor240524 aproveita um ataque em várias etapas com um conjunto de ferramentas ofensivas, incluindo synchronize.exe, um carregador semelhante ao ABCloader, que se descriptografa para manter a persistência. Os arquivos vcruntime190.dll and vcruntime220.dll sequestram componentes legítimos do sistema para execução synchronize.exe, assegurando a presença contínua do carregador no sistema.
O surgimento de grupos de hackers sofisticados, como o Actor240524, que experimentam com ferramentas ofensivas versáteis para manter a persistência e permitir controle remoto, destaca a necessidade de fortalecer as capacidades defensivas. Confie no Attack Detective da SOC Prime para melhorar a postura de SIEM da sua organização, prevenir proativamente ataques dos adversários que mais desafiem seu negócio, obter uma pilha de detecção priorizada para alertas de alta fidelidade e automatizar a rotina de caça a ameaças.
