São Paulo — InkDesign News — Um novo ataque cibernético registrado pela Insikt Group revela que um grupo hacker está utilizando uma variante modificada do trojan de acesso remoto DRAT, visando organizações do governo indiano na campanha batizada de “TAG-140”.
Vetor de ataque
O acesso inicial aos dispositivos das vítimas foi facilitado por um método considerado como um “isca de engenharia social estilo ClickFix”. Embora os pesquisadores não tenham conseguido determinar o mecanismo exato de entrega, suspeitam que foram utilizados e-mails de phishing direcionados. As vítimas eram persuadidas a executar um script malicioso via mshta.exe, que levava à execução do carregador BroaderAspect .NET, já empregado anteriormente pelo grupo TAG-140.
Impacto e resposta
A nova campanha, que incluiu a clonagem de um portal de comunicados de imprensa do Ministério da Defesa da Índia, revela uma mudança notável na arquitetura do malware e nas funcionalidades de comando e controle (C2). O grupo expande seu foco, além dos setores tradicionais de governo e defesa, incluindo agora ministérios ligados a ferrovias, petróleo e gás, e assuntos externos da Índia. Os pesquisadores afirmaram que “o desdobramento do DRAT V2 reflete o contínuo aprimoramento das ferramentas de acesso remoto do TAG-140, transitando de uma versão baseada em .NET para uma nova variante compilada em Delphi”.
Análise e recomendações
Apesar de suas melhorias, o DRAT V2 usa métodos básicos de infecção e persistência, tornando-o detectável tanto em análises estáticas quanto comportamentais. O malware possui diversas habilidades, como exfiltração de dados, upload de cargas adicionais e reconhecimento. A vigilância sobre a infraestrutura de spear-phishing, reutilização de carregadores e indicadores comportamentais será fundamental para manter uma visibilidade contínua sobre as atividades do TAG-140.
“Essas funções proporcionam ao TAG-140 controle persistente e flexível sobre o sistema infectado, permitindo tanto atividades automatizadas quanto interativas de pós-exploração, sem a necessidade de implantação de ferramentas auxiliares de malware.”
(“These functions provide TAG-140 with persistent, flexible control over the infected system and allow for both automated and interactive post-exploitation activity without requiring the deployment of auxiliary malware tools.”)— Pesquisadores, Insikt Group
Espera-se que, com a evolução das estratégias do TAG-140, as organizações se tornem mais vigilantes em relação a esses novos vetores de ataque, adaptando suas defesas cibernéticas a uma realidade constantemente em mudança.
Fonte: (Dark Reading – Segurança Cibernética)
