A Symantec identificou um novo grupo APT chamado Thrip que atacou operadores de satélites, empresas de telecomunicações e empresas de defesa nos EUA e no sudeste da Ásia.

Os grupos chineses de APT são sempre muito ativos, Desta vez, os especialistas da Symantec acompanharam um novo grupo de APT chamado Thrip que violou os sistemas de satélites, empresas de telecomunicações e empresas de defesa nos Estados Unidos e no Sudeste Asiático.

O grupo identificado como Thrip está no ativo desde 2013, mas é a primeira vez que a Symantec partilha publicamente detalhes relacionados com as suas atividades.

“We’ve been monitoring Thrip since 2013 when we uncovered a spying campaign being orchestrated from systems based in China. Since our initial discovery, the group has changed its tactics and broadened the range of tools it used. Initially, it relied heavily on custom malware, but in this most recent wave of attacks, which began in 2017, the group has switched to a mixture of custom malware and living off the land tools. ” reads the analysis published by Symantec.

Thrip-APT

 

No APT foi usada uma combinação de malware com ferramentas legítimas. A lista de vítimas é longa e inclui um operador de satélites.

Os hackers têm como alvo dispositivos envolvidos em operações e computadores infectados que executam software que monitoriza e controla os satélites. Essa circunstância sugere que os invasores também podem estar interessados ​​em sabotar os equipamentos.

Outra vítima do grupo é uma empresa especializada em imagens geoespaciais e mapeamento.

“[Thrip] targeted computers running MapXtreme GIS (Geographic Information System) software which is used for tasks such as developing custom geospatial applications or integrating location-based data into other applications. It also targeted machines running Google Earth Server and Garmin imaging software.” continues the analysis.

“The satellite operator wasn’t the only communications target Thrip was interested in. The group had also targeted three different telecoms operators, all based in Southeast Asia.”

 

A maquinaria do grupo inclui o cavalo de troia Trojan.Rikamanu e sua evolução Infostealer.Catchamas, que implementa recursos mais sofisticados de distorção de dados e também recursos altamente de ponta no que toca a invasão de sistemas.

 

Detalhes adicionais, incluindo IoCs, são apresentados na análise publicada pela Symantec.