Campanha de Espionagem Econômica por TA413

[post-views]
Setembro 07, 2020 · 2 min de leitura
Campanha de Espionagem Econômica por TA413

O uso de iscas relacionadas ao COVID19 já é percebido como prática comum tanto entre grupos motivados financeiramente quanto entre unidades de ciber-espionagem patrocinadas por estados. Pesquisadores divulgaram um relatório na semana passada sobre outro grupo que tem usado e-mails de phishing com tema COVID19 por seis meses para distribuir sua nova ferramenta. Sim, estamos falando do grupo APT chinês conhecido como TA413, que se especializa em campanhas de espionagem econômica voltadas para organizações de pesquisa de políticas sem fins lucrativos, corpos diplomáticos e legislativos europeus, e organizações globais que lidam com assuntos econômicos.

Os adversários usam malware personalizado chamado Sepulcher, e até agora este é o único ator de ameaça que o utiliza, mas dada a prática generalizada entre os grupos chineses de compartilhar suas ferramentas, após a publicação do relatório, este malware pode aparecer no arsenal de outros grupos APT também. Sepulcher é um Trojan de Acesso Remoto capaz de realizar reconhecimento: obter informações sobre os drives, informações de arquivos, estatísticas de diretórios, caminhos de diretórios, conteúdo de diretórios, processos e serviços em execução. Também pode criar diretórios, deletar diretórios e arquivos, iniciar um shell para executar comandos, terminar um processo, e mais.

A regra de caça a ameaças lançada por Osman Demir detecta atividades maliciosas do TA413 e malware Sepulcher usado pelo grupo em campanhas de ciber-espionagem:

https://tdm.socprime.com/tdm/info/WE9tcCoWqy2c/NE07U3QBQAH5UgbBBk2p/?p=1

 

A regra tem traduções para as seguintes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR: Carbon Black, Elastic Endpoint

 

MITRE ATT&CK: 

Táticas: Acesso Inicial, Persistência, Escalonamento de Privilégios

Técnicas: Novo Serviço (Е1050), Anexo Spearphishing (T1193)


Pronto para experimentar o SOC Prime TDM? Inscreva-se gratuitamente. Ou junte-se ao Programa de Recompensa de Ameaças para criar seu próprio conteúdo e compartilhá-lo com a comunidade TDM.

 

Este artigo foi útil?

Curta e compartilhe com seus colegas.
Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e obter valor imediato, agende uma reunião agora com os especialistas da SOC Prime.
Junte-se Gratuitamente Agende uma Reunião

Publicações Relacionadas

Detecção de Atividades do Grupo XE: Da Cópia de Cartões de Crédito à Exploração de Vulnerabilidades Zero-Day CVE-2024-57968 e CVE-2025-25181 no VeraCore 4 min de leitura Ameaças Mais Recentes Detecção de Atividades do Grupo XE: Da Cópia de Cartões de Crédito à Exploração de Vulnerabilidades Zero-Day CVE-2024-57968 e CVE-2025-25181 no VeraCore by Veronika Telychko Detecção da CVE-2025-0411: Grupos Cibercriminosos Russos Dependem de Vulnerabilidade Zero-Day no 7-Zip para Alvo em Organizações Ucranianas 5 min de leitura Ameaças Mais Recentes Detecção da CVE-2025-0411: Grupos Cibercriminosos Russos Dependem de Vulnerabilidade Zero-Day no 7-Zip para Alvo em Organizações Ucranianas by Veronika Telychko Detecção do Lumma Stealer: Campanha Sofisticada Usando Infraestrutura do GitHub para Espalhar SectopRAT, Vidar, Cobeacon e Outros Tipos de Malware 4 min de leitura Ameaças Mais Recentes Detecção do Lumma Stealer: Campanha Sofisticada Usando Infraestrutura do GitHub para Espalhar SectopRAT, Vidar, Cobeacon e Outros Tipos de Malware by Veronika Telychko
Todas as notícias