Phantom Taurus: novo grupo chinês de ciberespionagem é identificado após ataques

Grupo chinês Phantom Taurus usa malwares sofisticados para atacar servidores e espionar dados sensíveis em várias regiões.
Atualizado há 5 horas
Phantom Taurus: novo grupo chinês de ciberespionagem é identificado após ataques
(Imagem/Reprodução: Tecmundo)
Resumo da notícia
    • Phantom Taurus é um grupo de espionagem do governo chinês focado em atacar organizações governamentais e servidores estratégicos.
    • Você deve ficar atento à proteção dos seus dados, especialmente em ambientes que utilizam servidores Microsoft IIS.
    • O grupo utiliza técnicas avançadas para manter acesso furtivo e difícil de detectar, aumentando os riscos para sistemas críticos.
    • Ferramentas como o malware NET-STAR são usadas para comprometer servidores, exigindo defesas reforçadas e cooperação entre organizações.
CONTINUA DEPOIS DA PUBLICIDADE

Um grupo de espionagem do governo chinês, conhecido como Phantom Taurus, foi descoberto pelo centro de pesquisa Unit 42, da Palo Alto Networks. Este coletivo tem como foco principal organizações governamentais, ministérios de relações exteriores, embaixadas, grandes eventos geopolíticos, operações militares e provedores de telecomunicações. As ações do grupo se concentram principalmente em regiões da África, Oriente Médio e Ásia, com o objetivo de coletar dados sensíveis.

A missão clara do Phantom Taurus é espionar atividades diplomáticas e operacionais de seus alvos. Isso inclui a coleta de informações importantes como e-mails e outras comunicações internas de servidores oficiais. Para conseguir isso, o grupo utiliza um conjunto de ferramentas e técnicas avançadas. Elas servem para contornar as defesas de segurança e conseguir manter o acesso aos sistemas por um longo tempo, dificultando a detecção.

O que realmente destaca o Phantom Taurus, segundo a Unit 42, é o seu arsenal de TTPs — táticas, técnicas e procedimentos. Esses métodos permitem que o grupo execute operações extremamente discretas e persistentes. Entre as abordagens utilizadas, estão intrusões muito específicas, movimentação lateral dentro das redes comprometidas e a exfiltração de dados, realizada em várias etapas. Essa complexidade dificulta bastante a detecção por soluções de segurança mais comuns.

NET-STAR: A Arma Secreta para Servidores IIS

CONTINUA DEPOIS DA PUBLICIDADE

Uma descoberta importante do relatório sobre o Phantom Taurus é uma ferramenta personalizada chamada NET-STAR. Trata-se de uma suíte de malwares especialmente desenvolvida para atacar e comprometer servidores Microsoft IIS (Internet Information Services). O conjunto inclui backdoors fileless — programas maliciosos que não deixam rastros óbvios no disco rígido — como o IIServerCore.

Além disso, o NET-STAR possui payloaders que funcionam totalmente na memória RAM dos sistemas. O uso desses componentes que operam apenas na memória dificulta muito a detecção por softwares de segurança tradicionais. Isso facilita a permanência dos invasores nos sistemas afetados por mais tempo. A Unit 42 ressalta que o NET-STAR demonstra uma alta sofisticação técnica, sendo observado em ataques a alvos muito sensíveis e estratégicos.

Fortalecendo as Defesas Contra Ameaças Persistentes

As ações atribuídas ao Phantom Taurus servem como um lembrete importante sobre a necessidade de reforçar as defesas em infraestruturas críticas. Isso é especialmente vital para servidores web que utilizam IIS. É fundamental implementar um monitoramento mais detalhado, focado em atividades na memória do sistema, anomalias na rede e qualquer comportamento lateral incomum, o que pode indicar uma intrusão.

Para complementar as medidas técnicas, é crucial que as organizações compartilhem indicadores de comprometimento com parceiros. Além disso, adotar respostas coordenadas a incidentes é essencial. Essa colaboração ajuda a reduzir o tempo de exposição a ameaças e a mitigar os danos que podem ser causados por ataques como os do Phantom Taurus. Casos de vazamento de dados são cada vez mais comuns, o que exige atenção redobrada.

É importante lembrar que a persistência desses grupos representa um desafio constante para a segurança digital. Informações sobre espionagem de dados e ataques sofisticados reforçam a necessidade de estratégias de defesa robustas. A vigilância e a atualização constante são chaves para proteger sistemas e informações importantes, especialmente em um cenário onde a segurança cibernética está em constante evolução. Por isso, a proteção dos seus dados, inclusive por inteligência artificial para personalizar anúncios, é fundamental.

A constante evolução das ameaças, como as identificadas pela Unit 42, exige um esforço contínuo na análise de riscos. A troca de informações entre entidades e a adoção de tecnologias de defesa avançadas são passos essenciais para enfrentar esse tipo de operação. Isso ajuda a garantir que a segurança dos sistemas e dados críticos seja mantida. Até mesmo o vazamento de dados gera direito a indenização em muitos casos, mostrando a seriedade do problema.

CONTINUA DEPOIS DA PUBLICIDADE

Este conteúdo foi auxiliado por Inteligência Artificial, mas escrito e revisado por um humano.

André atua como jornalista de tecnologia desde 2009 quando fundou o Tekimobile. Também trabalhou na implantação do portal Tudocelular.com no Brasil e já escreveu para outros portais como AndroidPIT e Techtudo. É formado em eletrônica e automação, trabalhando com tecnologia há 26 anos.