Os investigadores da Cisco Talos detetaram uma nova campanha de ciberespionagem levada a cabo pelo grupo UAT-9244, que tem como alvos principais os fornecedores de telecomunicações na América do Sul. A atividade maliciosa, que decorre desde 2024, foca-se no comprometimento de sistemas windows, máquinas linux e diversos dispositivos de rede.
Este grupo parece estar fortemente relacionado com outros coletivos de piratas informáticos conhecidos, nomeadamente o FamousSparrow e o Tropic Trooper, uma vez que partilham ferramentas e táticas de ataque semelhantes. No entanto, devido às particularidades observadas, os especialistas monitorizam este caso como um núcleo de atividade independente.
O arsenal inédito TernDoor e PeerTime
A investigação revelou a utilização de três famílias de software malicioso que nunca tinham sido documentadas anteriormente. O TernDoor é uma ferramenta desenhada para atacar computadores com o sistema operativo da Microsoft, utilizando técnicas de injeção de código em processos legítimos para ganhar controlo sobre a máquina. Através deste vírus, os atacantes conseguem ler ou escrever ficheiros, executar comandos remotos e recolher informações sensíveis.
Por outro lado, o PeerTime é um componente voltado para sistemas de código aberto, com suporte para várias arquiteturas de processadores usadas em equipamentos de rede e sistemas embebidos. Esta ameaça utiliza o protocolo BitTorrent para comunicar com os centros de comando, o que ajuda a disfarçar a atividade criminosa no meio do tráfego comum da internet. O código desta ferramenta contém vestígios de chinês simplificado, o que reforça as suspeitas sobre a origem do grupo.
Estratégia de intrusão e persistência
O terceiro elemento deste ataque é o BruteEntry, uma ferramenta que realiza tentativas automáticas e exaustivas de acesso a serviços críticos como SSH ou bases de dados Postgres. O objetivo principal passa por transformar os dispositivos comprometidos em nós de uma infraestrutura de proxy, permitindo que os criminosos lancem novos ataques mantendo o anonimato e dificultando o rastreio das suas operações.
O grupo garante a sua permanência nos sistemas infetados através da modificação do registo e da criação de tarefas agendadas ocultas. Conforme detalhado no relatório técnico da Cisco Talos, foram disponibilizados vários indicadores de compromisso que ajudam as equipas de segurança a detetar e bloquear estas intrusões de forma antecipada. Embora o UAT-9244 partilhe o mesmo perfil de alvos que outros grupos como o Salt Typhoon, ainda não foi estabelecida uma ligação direta entre ambos.
Nenhum comentário
Seja o primeiro!