A equipe da Telsy Threat Intelligence identificou um possível ataque em vários estágios do Grunt Covenant direcionado a uma grande empresa de telecomunicações no Irã.
INTRODUÇÃO
Neste artigo, veremos as diferentes etapas que o invasor realizou para distribuir um Grunt Covenant para suas vítimas.
Telsy não tem muitas informações sobre a intenção exata desse ataque; na verdade, não há elementos que o atribuam a uma operação de espionagem cibernética específica e a um ator de ameaça específico ou a uma operação simples do Red Team.
Covenant é uma estrutura de comando e controle baseada em C # que permite a um invasor criar cargas úteis com base em vários vetores de infecção.
A estrutura Covenant tem seu próprio conjunto de implantes pós-exploração chamado Grunts. Grunts fornecem infraestrutura para construir comunicações com servidores C2. As tarefas são enviadas para o sistema infectado em um formato de assemblies C # ofuscados que são carregados e executados por Grunts
O ataque começou enviando um e-mail com o seguinte assunto “O recurso de licença ultrapassa o limite no TA_eSight” e um anexo denominado “TA_eSight.docx”. O assunto do email parece simular um possível problema com a licença da plataforma eSight.
O eSight é o pacote de software unificado da Huawei para planejar, operar e manter uma infraestrutura de ICT corporativa complexa – de redes globais convergentes e data centers a comunicações de multimídia e vídeo – que inclui as instalações necessárias para fornecer serviços de TI resilientes de alto desempenho.
A plataforma eSight oferece uma variedade de funções, incluindo suporte para monitoramento remoto e manutenção de equipamento nas instalações do cliente (CPE), eNodeBs e dispositivos de rede central, ajudando os usuários a implantar redes eLTE rapidamente e localizar falhas a custos mais baixos com maior eficiência e maior estabilidade.
Tanto o destinatário quanto o remetente do e-mail são dois engenheiros da área PS Core da rede de telecomunicações móveis. Na verdade, o remetente é um “Evolved Packet Core Planning Engineer” da Irancell, uma empresa parcialmente pertencente ao grupo sul-africano MTN, e pode ser uma conta legítima provavelmente comprometida.
Abrir o anexo mostrará um documento em branco enquanto os diferentes estágios da infecção são executados em segundo plano até a distribuição do Covenant Grunt.
Fonte: Telsy
Descubra mais sobre DCiber
Assine para receber os posts mais recentes por e-mail.
