Operação RestyLink: Detectando Campanha APT Alvejando o Japão
Índice:
Desde abril de 2022, pesquisadores estão observando uma série de ataques cibernéticos direcionados especificamente a organizações japonesas. A campanha, apelidada de Operação RestyLink, acredita-se estar ativa desde pelo menos março de 2022, com atividade maliciosa relacionada rastreada até outubro de 2021. A atribuição exata atualmente não está clara, mas a cadeia de eliminação do ataque e sua natureza altamente direcionada sugerem que um APT sofisticado é responsável pela operação nefasta.
Detectar Operação RestyLink
Para identificar a atividade maliciosa associada aos métodos de persistência da Operação RestyLink, baixe uma regra Sigma fornecida por nosso desenvolvedor perspicaz de Threat Bounty Osman Demir.
A regra Sigma mencionada acima pode ser utilizada em 23 ambientes SIEM, EDR e XDR e está mapeada para a estrutura MITRE ATT&CK, abordando as táticas de Persistência com a técnica correspondente de Início de Aplicações do Office (T1137).
Pressione o Explorar Detecções botão para acessar a lista completa de conteúdos de detecção para ataques APT atuais e emergentes.
Cadeia de Ataque e Atribuição
De acordo com a investigação aprofundada realizada pelo analista SOC Rintaro Koike, o último ataque RestyLink começa com um e-mail de phishing. Os e-mails possuem URLs maliciosas inseridas em seu corpo. Caso a vítima caia no truque e clique no link, um arquivo ZIP contendo um arquivo LNK é baixado do servidor do adversário. Em caso de execução, o arquivo LNK solta um arquivo DOT na pasta de inicialização do Microsoft usando o comando do Windows. Simultaneamente, um PDF isca é exibido na tela, distraindo a vítima dos processos suspeitos em segundo plano.
A análise de intrusões semelhantes observadas em abril de 2022 e anteriormente revela que os adversários seguem a mesma rotina, mas utilizam diferentes tipos de arquivos e métodos. Por exemplo, os atores da ameaça empurraram arquivos ISO maliciosos via phishing para soltar um arquivo EXE com um DLL malicioso escondido dentro. O DLL revelou-se um downloader Go embalado em UPX que soltou o CobaltSrike Stranger na máquina infectada.
A mesma infraestrutura foi aproveitada durante ataques contra o Japão em janeiro-março de 2022, bem como em outubro-novembro de 2021. Especialistas em segurança apontam para a natureza direcionada dos ataques e sua sofisticação, o que permite concluir que atores APT podem estar por trás da operação. A atribuição exata atualmente é desconhecida, mas com baixo nível de confiança, pesquisadores apontam para DarkHotel, Kimsuky, APT29, ou TA416 como possíveis operadores do ataque.
Aproveite o poder da colaboração na defesa cibernética e aumente sua velocidade de caça de ameaças ao se juntar à plataforma Detection as Code da SOC Prime. Descubra instantaneamente informações utilizáveis e relevantes sobre ameaças cibernéticas, acesse regras Sigma dedicadas e traduções automáticas para mais de 25 soluções SIEM, EDR e XDR, e automatize suas operações de caça a ameaças e detecção de ameaças para aumentar suas capacidades de defesa cibernética.