Evidência de Ameaça Persistente Avançada: Um estudo de caso de malware para espionagem política

Uma figura política em Hong Kong recebe continuamente e-mails de spear-phishing que incentivam a clicar em atalhos ou abrir anexos com extensões de arquivo, como .pdf, .doc(x), .xls(x), .chm, e assim por diante. Ele suspeita que tais e-mails foram enviados ativamente por partes aparentemente conhecidas durante os períodos pré e pós-eleitorais. Os e-mails e amostras foram enviados para nós para investigação, e duas amostras quase idênticas foram escolhidas para o estudo de caso. Esses malwares parecem ser o primeiro incidente de Ameaça Persistente Avançada (APT) a passar por um estudo detalhado em Hong Kong. A APT é definida pela MANDIANT como um ataque cibernético lançado por um grupo de atacantes sofisticados, determinados e coordenados que comprometem sistematicamente a rede de um alvo ou entidade específica por um período prolongado. O malware executa as seguintes funções semelhantes às da “Operação Shady RAT”: tenta se esconder de programas anti-vírus conhecidos, baixa e executa binários adicionais, enumera todas as informações de arquivo no disco rígido, coleta senhas de e-mail e mensagens instantâneas das vítimas, captura telas, estabelece conexões HTTP criptografadas para fora, envia toda a inteligência coletada para um Comando e Controle, e exclui todos os arquivos temporários das informações coletadas da máquina das vítimas após o upload. As descobertas forenses nos levam a acreditar que a APT é uma ameaça real em Hong Kong.