Um grupo suspeito de espionagem cibernética com ligações à China tem sido apontado como responsável por ataques direcionados a grandes provedores de serviços de TI business-to-business no sul da Europa, como parte de uma campanha apelidada de Operação Olho Digital.
As intrusões ocorreram desde o final de junho até meados de julho de 2024, empresas de cibersegurança SentinelOne SentinelLabs e Tinexta Cyber disseram em um relatório conjunto compartilhado, adicionando que as atividades foram detectadas e neutralizadas antes que pudessem avançar para a fase de exfiltração de dados.
"As intrusões poderiam ter permitido aos adversários estabelecer pontos de apoio estratégicos e comprometer entidades a jusante," diseeram os pesquisadores de segurança Aleksandar Milenkoski e Luigi Martire.
"Os atores de ameaça abusaram do Visual Studio Code e da infraestrutura da Microsoft Azure para fins de C2 (comando e controle), tentando evadir a detecção ao fazer atividades maliciosas parecerem legítimas."
Atualmente, não se sabe qual grupo de hackers ligado à China está por trás dos ataques, um aspecto complicado pela ampla partilha de ferramentas e infraestrutura entre atores de ameaças alinhados com a nação do Leste Asiático.
Central para a Operação Olho Digital é a armação de Túneis Remotos do Microsoft Visual Studio Code para C2, um recurso legítimo que permite o acesso remoto a endpoints, concedendo aos atacantes a capacidade de executar comandos arbitrários e manipular arquivos.
Parte da razão pela qual hackers apoiados por governos usam tal infraestrutura de nuvem pública é que sua atividade se mistura ao tráfego típico visto pelos defensores da rede.
Além disso, tais atividades empregam executáveis legítimos que não são bloqueados por controles de aplicativos e regras de firewall.
As cadeias de ataque observadas pelas empresas envolvem o uso de injeção SQL como um vetor de acesso inicial para violar aplicativos voltados para a internet e servidores de bancos de dados.
A injeção de código é realizada por meio de uma ferramenta de teste de penetração legítima chamada SQLmap que automatiza o processo de detecção e exploração de falhas de injeção SQL.
Um ataque bem-sucedido é seguido pelo envio de um web shell baseado em PHP apelidado de PHPsert que permite que os atores de ameaça mantenham um ponto de apoio e estabeleçam acesso remoto persistente.
Etapas subsequentes incluem reconhecimento, colheita de credenciais e movimento lateral para outros sistemas na rede usando o Protocolo de Área de Trabalho Remota (RDP) e técnicas de pass-the-hash.
"Para os ataques de pass-the-hash, eles usaram uma versão customizada do Mimikatz," disseram os pesquisadores.
A ferramenta "permite a execução de processos dentro do contexto de segurança de um usuário, aproveitando um hash de senha NTLM comprometido, contornando a necessidade da senha real do usuário."
Sobreposições significativas de código-fonte sugerem que a ferramenta sob medida origina-se da mesma fonte que as observadas exclusivamente em atividades de espionagem cibernética suspeitas chinesas, como a Operação Soft Cell e a Operação Tainted Love.
Essas modificações customizadas do Mimikatz, que também incluem certificados de assinatura de código compartilhados e o uso de mensagens de erro ou técnicas de ofuscação únicas personalizadas, foram coletivamente intituladas mimCN.
"A evolução a longo prazo e versionamento de amostras de mimCN, juntamente com características notáveis, como instruções deixadas para uma equipe separada de operadores, sugerem o envolvimento de um fornecedor compartilhado ou intendente digital responsável pela manutenção ativa e provisão de ferramentas," os pesquisadores apontaram.
Esta função dentro do ecossistema de APT chinesas, corroborada pelo vazamento I-Soon, provavelmente desempenha um papel fundamental na facilitação de operações de espionagem cibernética com nexos à China.
Também é digno de nota a dependência de SSH e Túneis Remotos do Visual Studio Code para execução remota de comandos, com os atacantes usando contas do GitHub para autenticação e conexão ao túnel a fim de acessar o endpoint comprometido por meio da versão baseada em navegador do Visual Studio Code ("vscode[.]dev").
Dito isto, não é conhecido se os atores de ameaça utilizaram contas do GitHub recém-registradas por eles próprios ou já comprometidas para autenticar aos túneis.
Além de mimCN, alguns dos outros aspectos que apontam para a China são a presença de comentários em chinês simplificado no PHPsert, o uso de infraestrutura fornecida pelo provedor de hospedagem romeno M247 e o uso do Visual Studio Code como um backdoor, o último dos quais foi atribuído ao ator Mustang Panda.
Além disso, a investigação descobriu que os operadores estavam principalmente ativos nas redes das organizações alvo durante o horário de trabalho típico na China, principalmente entre 9h e 21h CST.
"A campanha sublinha a natureza estratégica desta ameaça, uma vez que violar organizações que fornecem dados, infraestrutura e soluções de cibersegurança para outras indústrias dá aos atacantes um ponto de apoio na cadeia de suprimentos digital, permitindo-lhes estender seu alcance a entidades a jusante," disseram os pesquisadores.
O abuso de Túneis Remotos do Visual Studio Code nesta campanha ilustra como grupos de APT chineses frequentemente dependem de abordagens práticas e orientadas à solução para evadir a detecção.
Ao aproveitar uma ferramenta de desenvolvimento e infraestrutura confiáveis, os atores de ameaça visaram disfarçar suas atividades maliciosas como legítimas.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...