Publicidade

Falha Log4Shell renasce em ciberataques financeiros de grupo chinês

Por| Editado por Claudio Yuge | 01 de Abril de 2022 às 20h20

Link copiado!

 Sora Shimazaki
Sora Shimazaki

A falha Log4Shell, também conhecida como Log4J, voltou a ser explorada por um grupo cibercriminoso chinês, que vem realizando uma campanha de ataques contra empresas dos setores de turismo, cosméticos e serviços financeiros. O objetivo dos ataques é roubar dados e estabelecer persistência, mantendo as portas abertas para novas contaminações de acordo com os recursos de cada sistema e o valor das informações.

Os incidentes revelados pela FortiGuard Labs, laboratório de segurança digital da Fortinet, são obra do Deep Panda, um grupo com atuação há pelo menos 10 anos. Desta vez, eles utilizam um novo kit de ferramentas maliciosas, chamado Fire Chili, para aplicar golpes que combinam recursos próprios com uma backdoor chamada Milestone, responsável por manter uma backdoor para o download de novas pragas.

Os especialistas chamam a atenção para o aspecto furtivo da solução maliciosa, altamente capaz de manter suas atividades ocultas de softwares de segurança. O Fire Chili usa um certificado digital legítimo, mas furtado de soluções voltadas ao mercado de jogos, como primeiro passo, checando a versão do sistema operacional Windows e garantindo que a máquina não está rodando em modo de segurança, com as atividades seguindo adiante caso isso seja confirmado.

Continua após a publicidade

Seus drivers são ocultados, assim como os processos e entradas no registro, enquanto existem, também, sistemas que impedem a ação de ferramentas de segurança contra suas próprias tarefas. Por fim, entra em ação a backdoor, com o Milestone permanecendo instalado no PC para obter dados manipulados por ele e abrir as portas para novas infecções por malware.

De acordo com a FortiGuard Labs, existem semelhanças entre os métodos e códigos usados pelo Deep Panda e aqueles do Winnti, outro grupo chinês voltado para ataques contra empresas do mercado de games. O certificado usado, por exemplo, é compartilhado, enquanto outras semelhanças podem apontar que os bandos estão compartilhando recursos e infraestruturas, ainda que uma ligação mais concreta entre eles ainda seja incerta.

A campanha que ainda parece estar em seu estágio inicial de atuação não é detectada por boa parte dos sistemas de segurança do mercado, o que exige mais atenção dos administradores. A Fortinet divulgou indicadores de comprometimento e técnicas de ataque usadas pelos criminosos, enquanto as atualizações dos sistemas que sejam vulneráveis à brecha Log4Shell devem ser atualizados ou receberem mitigações o mais rapidamente possível.

Fonte: Fortinet