Operação RestyLink: Detectando Campanha APT Alvejando o Japão

[post-views]
Maio 18, 2022 · 3 min de leitura
Operação RestyLink: Detectando Campanha APT Alvejando o Japão

Desde abril de 2022, pesquisadores estão observando uma série de ataques cibernéticos direcionados especificamente a organizações japonesas. A campanha, apelidada de Operação RestyLink, acredita-se estar ativa desde pelo menos março de 2022, com atividade maliciosa relacionada rastreada até outubro de 2021. A atribuição exata atualmente não está clara, mas a cadeia de eliminação do ataque e sua natureza altamente direcionada sugerem que um APT sofisticado é responsável pela operação nefasta.

Detectar Operação RestyLink

Para identificar a atividade maliciosa associada aos métodos de persistência da Operação RestyLink, baixe uma regra Sigma fornecida por nosso desenvolvedor perspicaz de Threat Bounty Osman Demir.

Persistência Suspeita da Operação RestyLink por Escrita de Arquivo Dot no Início das Aplicações do Office [Alvo Japão] (via cmdline)

A regra Sigma mencionada acima pode ser utilizada em 23 ambientes SIEM, EDR e XDR e está mapeada para a estrutura MITRE ATT&CK, abordando as táticas de Persistência com a técnica correspondente de Início de Aplicações do Office (T1137).

Pressione o Explorar Detecções botão para acessar a lista completa de conteúdos de detecção para ataques APT atuais e emergentes.

Explorar Detecções

Cadeia de Ataque e Atribuição

De acordo com a investigação aprofundada realizada pelo analista SOC Rintaro Koike, o último ataque RestyLink começa com um e-mail de phishing. Os e-mails possuem URLs maliciosas inseridas em seu corpo. Caso a vítima caia no truque e clique no link, um arquivo ZIP contendo um arquivo LNK é baixado do servidor do adversário. Em caso de execução, o arquivo LNK solta um arquivo DOT na pasta de inicialização do Microsoft usando o comando do Windows. Simultaneamente, um PDF isca é exibido na tela, distraindo a vítima dos processos suspeitos em segundo plano.

A análise de intrusões semelhantes observadas em abril de 2022 e anteriormente revela que os adversários seguem a mesma rotina, mas utilizam diferentes tipos de arquivos e métodos. Por exemplo, os atores da ameaça empurraram arquivos ISO maliciosos via phishing para soltar um arquivo EXE com um DLL malicioso escondido dentro. O DLL revelou-se um downloader Go embalado em UPX que soltou o CobaltSrike Stranger na máquina infectada.

A mesma infraestrutura foi aproveitada durante ataques contra o Japão em janeiro-março de 2022, bem como em outubro-novembro de 2021. Especialistas em segurança apontam para a natureza direcionada dos ataques e sua sofisticação, o que permite concluir que atores APT podem estar por trás da operação. A atribuição exata atualmente é desconhecida, mas com baixo nível de confiança, pesquisadores apontam para DarkHotel, Kimsuky, APT29, ou TA416 como possíveis operadores do ataque.

Aproveite o poder da colaboração na defesa cibernética e aumente sua velocidade de caça de ameaças ao se juntar à plataforma Detection as Code da SOC Prime. Descubra instantaneamente informações utilizáveis e relevantes sobre ameaças cibernéticas, acesse regras Sigma dedicadas e traduções automáticas para mais de 25 soluções SIEM, EDR e XDR, e automatize suas operações de caça a ameaças e detecção de ameaças para aumentar suas capacidades de defesa cibernética.

Tabela de Conteúdos

Este artigo foi útil?

Curta e compartilhe com seus colegas.
Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e obter valor imediato, agende uma reunião agora com os especialistas da SOC Prime.

Publicações Relacionadas