Ataque Cibernético sofisticado
26 de Novembro de 2024

O ator de ameaças ligado à China, conhecido como Earth Estries, foi observado usando uma backdoor anteriormente não documentada chamada GHOSTSPIDER como parte de seus ataques direcionados a empresas de telecomunicações do Sudeste Asiático.

A Trend Micro, que descreveu o grupo de hackers como uma ameaça persistente avançada (APT) agressiva, disse que as intrusões também envolveram o uso de outra backdoor cross-platform chamada MASOL RAT (conhecida como Backdr-NQ) em sistemas Linux pertencentes a redes governamentais do Sudeste Asiático.

Ao todo, estima-se que o Earth Estries tenha comprometido com sucesso mais de 20 entidades abrangendo as indústrias de telecomunicações, tecnologia, consultoria, química e transporte, agências governamentais e setores de organizações não-governamentais (ONGs).

As vítimas foram identificadas em mais de uma dúzia de países, incluindo Afeganistão, Brasil, Eswatini, Índia, Indonésia, Malásia, Paquistão, Filipinas, África do Sul, Taiwan, Tailândia, EUA e Vietnã.

O Earth Estries compartilha sobreposições com clusters monitorados por outros fornecedores de cibersegurança sob os nomes FamousSparrow, GhostEmperor, Salt Typhoon e UNC2286.

Diz-se que está ativo desde pelo menos 2020, aproveitando uma ampla gama de famílias de malware para violar entidades de telecomunicações e governamentais nos EUA, na região da Ásia-Pacífico, no Oriente Médio e na África do Sul.

De acordo com um relatório do The Washington Post na semana passada, acredita-se que o grupo de hackers tenha penetrado em mais de uma dúzia de empresas de telecomunicações apenas nos EUA.

Cerca de 150 vítimas foram identificadas e notificadas pelo governo dos EUA.

Algumas das ferramentas notáveis em seu portfólio de malware incluem o rootkit Demodex e Deed RAT (também conhecido como SNAPPYBEE), um sucessor suspeito do ShadowPad, que foi amplamente utilizado por vários grupos APT chineses.

Também foram utilizados pelo ator de ameaça backdoors e ladrões de informações como Crowdoor, SparrowDoor, HemiGate, TrillClient e Zingdoor.

O acesso inicial às redes alvo é facilitado pela exploração de falhas de segurança N-day no Ivanti Connect Secure (CVE-2023-46805 e CVE-2024-21887), Fortinet FortiClient EMS ( CVE-2023-48788 ), Sophos Firewall ( CVE-2022-3236 ), Microsoft Exchange Server ( CVE-2021-26857 , CVE-2021-26858 , CVE-2021-27065 , CVE-2021-27078. Essa descrição em Português do Brasil ficaria assim: Vulnerabilidade de Execução Remota de Código no Microsoft Exchange Server. Este ID de CVE é único em relação às outras vulnerabilidades conhecidas como CVE-2021-26412, CVE-2021-26854, CVE-2021-26857 , CVE-2021-26858 , CVE-2021-27065 , CVE-2021-27078.

"> CVE-2021-26855 , CVE-2021-26857 , CVE-2021-26858 e CVE-2021-27065 , conhecido como ProxyLogon).

Fluxo de infecção do GHOSTSPIDER

Os ataques então abrem caminho para a implantação de malware personalizado, como o Deed RAT, Demodex e o GHOSTSPIDER, para conduzir atividades de espionagem cibernética de longo prazo.

"O Earth Estries é um grupo bem organizado com uma clara divisão de trabalho", disseram os pesquisadores de segurança Leon M Chang, Theo Chen, Lenart Bermejo e Ted Lee.

Baseados em observações de múltiplas campanhas, especulamos que ataques direcionados a diferentes regiões e indústrias são lançados por diferentes atores.

Além disso, a infraestrutura de [comando e controle] usada por várias backdoors parece ser gerenciada por diferentes equipes de infraestrutura, destacando ainda mais a complexidade das operações do grupo.

Um implante sofisticado e multi-modular, o GHOSTSPIDER se comunica com a infraestrutura controlada pelos atacantes usando um protocolo personalizado protegido por Transport Layer Security (TLS) e busca módulos adicionais que podem complementar sua funcionalidade conforme necessário.

"O Earth Estries conduz ataques furtivos que começam a partir de dispositivos de borda e se estendem para ambientes em nuvem, tornando a detecção um desafio", disse a Trend Micro.

Eles empregam vários métodos para estabelecer redes operacionais que efetivamente ocultam suas atividades de espionagem cibernética, demonstrando um alto nível de sofisticação em sua abordagem para infiltrar e monitorar alvos sensíveis.

Empresas de telecomunicações têm sido o foco de vários grupos de ameaças ligados à China, como Granite Typhoon e Liminal Panda, nos últimos anos.

A empresa de cibersegurança CrowdStrike disse ao The Hacker News que os ataques destacam uma significativa maturação do programa cibernético da China, que se deslocou de ataques isolados para coleta de dados em massa e mira de longo prazo em Provedores de Serviços Gerenciados (MSPs), Provedores de Serviços de Internet (ISPs) e provedores de plataforma.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...