Pesquisadores de segurança cibernética criaram um perfil de uma equipe de hackers chamada “Panda”, que acredita-se ter acumulado cerca de US $ 90.000 em criptomoedas por meio de ferramentas de acesso remoto (RATs, em inglês) e malware de mineração ilícito.
O Cisco Talos Intelligence Group observou que a Panda não é exatamente sofisticada. Porém, ela persistiu como uma das atacantes mais ativas da Internet nos últimos anos.
Os pesquisadores do Talos destacaram a disposição do grupo em explorar continuamente aplicativos vulneráveis da web em todo o mundo como chave para seu sucesso. Em outubro do ano passado, um arquivo de configuração de malware da Panda havia sido baixado mais de 300.000 vezes.
A empresa disse:
Eles também atualizam frequentemente seus alvos, usando uma variedade de explorações para atingir várias vulnerabilidades, e rapidamente começam a explorar vulnerabilidades conhecidas logo após a disponibilização de POCs públicos, tornando-se uma ameaça para qualquer pessoa que precise de correções.
A Panda possui um grande pacote de RATs (e outras façanhas)
A Panda foi detectada pela primeira vez em meados de 2018, durante a campanha “MassMiner“, que teve grande sucesso. Isso foi alimentado por um worm que alavancou várias explorações internas e até mesmo acesso forçado a servidores Microsoft SQL, para explorar a criptomoeda alternativa Monero (XMR).
Agora, a Panda utiliza o Mimikatz, um programa de código aberto para roubar informações confidenciais de sistemas comprometidos, como nomes de usuário e senhas.
Os pesquisadores também descobriram que a Panda opera com explorações anteriormente usadas pela Shadow Brokers, uma equipe de hackers que ganhou reputação ao publicar informações obtidas da Agência de Segurança Nacional dos EUA.
Até o momento, a Talos confirmou que a Panda atingiu organizações nos setores bancário, de transporte, de telecomunicações, de serviços de TI e de saúde.
Esta equipe de mineração de criptomoedas pode ser de origem chinesa
Quem está por trás da Panda realmente não se importa muito com segurança operacional. Por exemplo, o grupo recebeu esse nome porque um domínio relacionado foi registrado para um ator de língua chinesa que recebeu o nome de “Panda”.
Uma amostra de malware analisada também solicitou dados usando um serviço de localização geográfica IP que forneceu o endereço IP e a localização da máquina em chinês.
Ainda mais curioso, os analistas da Talos descobriram que a Panda estava explorando uma vulnerabilidade na estrutura da web do ThinkPHP para espalhar seu malware. Pesquisadores relatam que este software é particularmente popular na China.
A empresa escreveu:
A segurança operacional da Panda permanece fraca, com muitos de seus domínios antigos e atuais todos hospedados no mesmo IP e seus TTPs permanecendo relativamente semelhantes durante as campanhas. As cargas úteis também não são muito sofisticadas.
Ainda assim, os esforços da Panda geraram cerca de 1.215 XMR em lucros, que hoje valem cerca de US $ 90.000 – mas o valor exato ganho depende de quando eles venderam sua criptomoeda.
Por fim, você acabou de conhecer a Panda, uma equipe ilícita de mineração de criptomoedas que aterroriza organizações em todo o mundo.
Não deixe de compartilhar!
Fonte: The Next Web
Leia também: Telegram lançará sua criptomoeda e blockchain este ano