Código HTML do Conteúdo

Post: TAG-144: atores atacando entidades governamentais com novas táticas, técnicas e procedimentos - Against Invaders - Notícias de CyberSecurity para humanos.

<div> <div> <p>O ator de amea&ccedil;as conhecido como TAG-144, tamb&eacute;m chamado de &aacute;guia cega ou APT-C-36, foi vinculado a cinco aglomerados de atividades distintos que operam de maio de 2024 a julho de 2025, direcionando principalmente as entidades governamentais colombianas nos n&iacute;veis locais, municipais e federais.</p> <p>Este grupo de amea&ccedil;as cibern&eacute;ticas, ativo desde pelo menos 2018, emprega uma mistura sofisticada de ciber-spionagem e t&aacute;ticas de motiva&ccedil;&atilde;o financeira, concentrando-se em roubo e vigil&acirc;ncia de credenciais por meio de commodities de acesso remoto de Trojans (ratos) como Asyncrat, DCRAT, Remcos Rat, Xworm e Limerat. </p> <p>Os clusters demonstram t&aacute;ticas, t&eacute;cnicas e procedimentos (TTPs) sobrepostos, mas variados, incluindo cadeias de infec&ccedil;&atilde;o em v&aacute;rios est&aacute;gios que aproveitam os servi&ccedil;os leg&iacute;timos da Internet (LIS) como Discord, Github e Archive.org para prepara&ccedil;&atilde;o de carga &uacute;til, juntamente com a Steganografia para incorporar c&oacute;digos maliciosos dentro de arquivos de imagem para evas&atilde;o. </p> <p>An&aacute;lise de infraestrutura <a href="https://www.recordedfuture.com/research/tag-144s-persistent-grip-on-south-american-organizations" rel="noreferrer noopener nofollow" target="_blank">revela</a> Uso extensivo de servidores privados virtuais (VPS), endere&ccedil;os IP do ISP colombiano e fornecedores din&acirc;micos de DNS como DuckDNs.org e Noip.com, com alguns clusters incorporando servi&ccedil;os de VPN como o Torguard para obscurecer opera&ccedil;&otilde;es de comando e controle (C2).</p> <p>Os dados da vitimologia indicam uma forte &ecirc;nfase nas institui&ccedil;&otilde;es governamentais, com intrus&otilde;es adicionais em setores como educa&ccedil;&atilde;o, sa&uacute;de e energia, destacando o foco regional da TAG-144 na Am&eacute;rica do Sul, particularmente na Col&ocirc;mbia, Equador, Chile e Panam&aacute;.</p> <h2 id="h-malware-deployment-strategies"><strong>Estrat&eacute;gias de implanta&ccedil;&atilde;o de malware</strong></h2> <p>A resili&ecirc;ncia operacional da TAG-144 &eacute; evidente na diferencia&ccedil;&atilde;o em seus clusters, cada um adaptado com m&eacute;todos exclusivos de infraestrutura e implanta&ccedil;&atilde;o, mantendo os principais TTPs.</p> <p>Por exemplo, o cluster 1, ativo de fevereiro a julho de 2025, depende de servidores Torguard VPN e dom&iacute;nios est&aacute;ticos do DuckDNS.org com algoritmo de gera&ccedil;&atilde;o de dom&iacute;nio (DGA), como padr&otilde;es de nomea&ccedil;&atilde;o, como &ldquo;Envio16-05.duckdns.orng&rdquo;, para demitir dcrat, como asnCrat e <a href="https://gbhackers.com/hive0156-hackers-targeting-government-and-military-organizations/" rel="noreferrer noopener" target="_blank">Rato Remcos</a>. </p> <p>Este cluster apresenta um novo abuso de LIS, incluindo a plataforma de hospedagem gratuita lovestoblog.com, onde os scripts codificados do PowerShell buscam cargas &uacute;teis ocultas de seganograficamente de imagens JPG no Archive.org, geralmente acompanhadas por coment&aacute;rios de portugu&ecirc;s que resumem a colabora&ccedil;&atilde;o em potencial. </p> <p>O cluster 2, abrangendo setembro a dezembro de 2024, incorpora como colocrossing e vultr hospedando com dom&iacute;nios com temas espanh&oacute;is como &ldquo;pesosdepesoSlibras.duckdns.org&rdquo; e implanta variantes de ass&iacute;ncrados rachados provenientes de origem de origem <a href="https://gbhackers.com/hackers-telegram-lumma-stealer/" rel="noreferrer noopener" target="_blank">Canais de telegrama</a>resultando em infec&ccedil;&otilde;es entre setores de governo, educa&ccedil;&atilde;o, defesa e varejo. </p> <p>Enquanto isso, o cluster 3 utiliza o ISP colombiano UNE EPM para implanta&ccedil;&otilde;es ass&iacute;ncradas e remcos, o cluster 4 combina malware com infraestrutura de phishing que representa bancos como Bancolombia e o cluster 5 emprega Glesys que hospeda para dom&iacute;nios e din&acirc;micos. </p> <p>Sobreposi&ccedil;&otilde;es na infraestrutura, como resolu&ccedil;&otilde;es de IP compartilhadas e comunica&ccedil;&otilde;es de v&iacute;timas, confirmam esses clusters como facetas interconectadas das campanhas do TAG-144. </p> <p>Outros v&iacute;nculos com o ator de amea&ccedil;as Red Akodon, por meio de reposit&oacute;rios compartilhados do GitHub e contas de email do governo comprometidas usadas no Spearphishing, destacam o ecossistema adaptativo do TAG-144, misturando ferramentas de c&oacute;digo aberto com crypters como CreptCrypt e Geo-Gente para restringir o acesso externo regi&otilde;es direcionadas.</p> <h2 id="h-blurring-cybercrime-lines"><strong>Linhas de crime cibern&eacute;tico emba&ccedil;ador</strong></h2> <p>Para combater as amea&ccedil;as do TAG-144, as equipes de seguran&ccedil;a s&atilde;o aconselhadas a implementar o bloqueio de IP e dom&iacute;nio de C2s de ratos associados, implantar regras de detec&ccedil;&atilde;o, incluindo YARA, Sigma e Snort para assinaturas de malware e monitorar conex&otilde;es LIS para atividade an&ocirc;mala. </p> <p>Filtragem de email, monitoramento de exfiltra&ccedil;&atilde;o de dados e atualiza&ccedil;&otilde;es cont&iacute;nuas de intelig&ecirc;ncia de amea&ccedil;as s&atilde;o cruciais, dado o uso do grupo de roteadores comprometidos como proxies reversos e direcionamento persistente de entidades de alto valor. </p> <p>Olhando para o futuro, o TAG-144 deve sustentar seu foco nos ativos do governo colombiano, potencialmente integrando ferramentas emergentes e expandindo a explora&ccedil;&atilde;o do LIS, enquanto embakando linhas entre crimes cibern&eacute;ticos e espionagem no cen&aacute;rio digital em evolu&ccedil;&atilde;o da Am&eacute;rica do Sul. </p> <p>Essa persist&ecirc;ncia ressalta a necessidade de defesas regionais aprimoradas e colabora&ccedil;&atilde;o para mitigar essas amea&ccedil;as regionalmente sintonizadas.</p> <h2 id="h-indicator-of-compromise-iocs"><strong>Indicador de compromisso (COI)</strong></h2> <figure> <table> <thead> <tr> <th>Tipo de IOC</th> <th>Exemplos</th> </tr> </thead> <tbody> <tr> <td>Endere&ccedil;os IP (Cluster 1)</td> <td>45.133.180.26, 146.70.137.90, 181.235.4.255</td> </tr> <tr> <td>Dom&iacute;nios (cluster 1)</td> <td>Envio16-05.duckdns.org, trabajonuevos.duckdns.org</td> </tr> <tr> <td>Endere&ccedil;os IP (Cluster 2)</td> <td>64.188.9.172, 179.14.8.131</td> </tr> <tr> <td>Dom&iacute;nios (cluster 2)</td> <td>pesoSdepesoSlibras.Duckdns.org, DeadPoolstart2064.duckdns.org</td> </tr> <tr> <td>SHA256 HASHES</td> <td>04878A5889E3368C2CF093D42006BA18A87C5054F1464900094E6864F4919899, AEE42A6D8D22A421FD445695D8B8C8B3311FA0DC0476461AEA649A08236587EDD</td> </tr> </tbody> </table> </figure> <p><strong>Encontre esta not&iacute;cia interessante! Siga -nos<a href="https://news.google.com/publications/CAAqKAgKIiJDQklTRXdnTWFnOEtEV2RpYUdGamEyVnljeTVqYjIwb0FBUAE?hl=en-IN&amp;gl=IN&amp;ceid=IN%3Aen" rel="noreferrer noopener" target="_blank">Google News</a>Assim,<a href="https://www.linkedin.com/company/cyber-threat-intel/" rel="noreferrer noopener" target="_blank">LinkedIn</a>e<a href="https://x.com/The_Cyber_News" rel="noreferrer noopener" target="_blank">X</a>Para obter atualiza&ccedil;&otilde;es instant&acirc;neas!</strong></p> </div></div>