Os grupos chineses de APT são sempre muito ativos, Desta vez, os especialistas da Symantec acompanharam um novo grupo de APT chamado Thrip que violou os sistemas de satélites, empresas de telecomunicações e empresas de defesa nos Estados Unidos e no Sudeste Asiático.
O grupo identificado como Thrip está no ativo desde 2013, mas é a primeira vez que a Symantec partilha publicamente detalhes relacionados com as suas atividades.
“We’ve been monitoring Thrip since 2013 when we uncovered a spying campaign being orchestrated from systems based in China. Since our initial discovery, the group has changed its tactics and broadened the range of tools it used. Initially, it relied heavily on custom malware, but in this most recent wave of attacks, which began in 2017, the group has switched to a mixture of custom malware and living off the land tools. ” reads the analysis published by Symantec.
No APT foi usada uma combinação de malware com ferramentas legítimas. A lista de vítimas é longa e inclui um operador de satélites.
Os hackers têm como alvo dispositivos envolvidos em operações e computadores infectados que executam software que monitoriza e controla os satélites. Essa circunstância sugere que os invasores também podem estar interessados em sabotar os equipamentos.
Outra vítima do grupo é uma empresa especializada em imagens geoespaciais e mapeamento.
“[Thrip] targeted computers running MapXtreme GIS (Geographic Information System) software which is used for tasks such as developing custom geospatial applications or integrating location-based data into other applications. It also targeted machines running Google Earth Server and Garmin imaging software.” continues the analysis.
“The satellite operator wasn’t the only communications target Thrip was interested in. The group had also targeted three different telecoms operators, all based in Southeast Asia.”
A maquinaria do grupo inclui o cavalo de troia Trojan.Rikamanu e sua evolução Infostealer.Catchamas, que implementa recursos mais sofisticados de distorção de dados e também recursos altamente de ponta no que toca a invasão de sistemas.
Detalhes adicionais, incluindo IoCs, são apresentados na análise publicada pela Symantec.
Pedro Tavares is a professional in the field of information security working as an Ethical Hacker/Pentester, Malware Researcher and also a Security Evangelist. He is also a founding member at CSIRT.UBI and Editor-in-Chief of the security computer blog seguranca-informatica.pt.
In recent years he has invested in the field of information security, exploring and analyzing a wide range of topics, such as pentesting (Kali Linux), malware, exploitation, hacking, IoT and security in Active Directory networks. He is also Freelance Writer (Infosec. Resources Institute and Cyber Defense Magazine) and developer of the 0xSI_f33d – a feed that compiles phishing and malware campaigns targeting Portuguese citizens.
Read more here.