Como funciona o ataque do grupo Calypso APT?
Os ataques funcionaram invadindo o perímetro dos sistemas de uma organização, usando utilitários e malware especiais para obter acesso à rede interna. Uma vez lá dentro, os hackers poderiam se mover pelo sistema de duas maneiras: explorando vulnerabilidades da Execução Remota de Código ou usando credenciais roubadas.
Com esse método, o grupo de ataque foi capaz de danificar com sucesso as organizações governamentais em todos os países visados. A Positive Technologies atribuiu o sucesso do grupo ao uso de ferramentas públicas amplamente disponíveis: “Esses ataques foram bem-sucedidos porque a maioria dos utilitários que o grupo usa para se deslocar dentro da rede é amplamente utilizada por especialistas em todos os lugares para administração de rede. O grupo usou utilitários disponíveis ao público. e explorar ferramentas, como SysInternals, Mimikatz, EternalBlue e EternalRomance “.
A Positive Technologies acredita que o grupo Calypso APT é de língua chinesa devido ao uso do malware PlugX, uma ferramenta favorita entre os grupos chineses, bem como do Trojan Byeby. Além disso, ele descobriu alguns endereços IP reais dos hackers que estavam vinculados a provedores chineses.