Ataque de hackers do Camaro Dragon com Malware Auto-Propagável via USB
23 de Junho de 2023

O ator de ciberespionagem chinês conhecido como Camaro Dragon foi observado utilizando uma nova cepa de malware autopropagável que se espalha por meio de drives USB comprometidos.

"Embora seu foco principal tenha sido tradicionalmente países do Sudeste Asiático, essa última descoberta revela sua abrangência global e destaca o papel alarmante que os drives USB desempenham na propagação de malware", disse a Check Point em uma nova pesquisa compartilhada com a The Hacker News.

A empresa de segurança cibernética, que encontrou evidências de infecções por malware USB em Myanmar, Coreia do Sul, Grã-Bretanha, Índia e Rússia, disse que os resultados são o resultado de um incidente cibernético que investigou em um hospital europeu não identificado no início de 2023.

A investigação descobriu que a entidade não era diretamente visada pelo adversário, mas sofreu uma violação através de um drive USB de um funcionário, que foi infectado quando foi conectado ao computador de um colega em uma conferência na Ásia.

"Consequentemente, ao retornar à instituição de saúde na Europa, o funcionário inadvertidamente introduziu o drive USB infectado, o que levou à propagação da infecção nos sistemas de computador do hospital", disse a empresa.

Camaro Dragon compartilha similaridades táticas com clusters de atividade rastreados como Mustang Panda e LuminousMoth, com a equipe adversária recentemente ligada a um backdoor baseado em Go chamado TinyNote e um implante malicioso de firmware de roteador chamado HorseShell.

A cadeia de infecção mais recente consiste em um lançador Delphi conhecido como HopperTick que é propagado através de drives USB e seu payload primária chamado WispRider, que é responsável por infectar os dispositivos quando são conectados a uma máquina.

"Quando um drive USB benigno é inserido em um computador infectado, o malware detecta um novo dispositivo inserido no PC e manipula seus arquivos, criando várias pastas ocultas na raiz do drive USB", disseram os pesquisadores da Check Point.

Além de infectar o host atual, se ainda não estiver infectado, WispRider é encarregado de se comunicar com um servidor remoto, comprometer quaisquer dispositivos USB recém-conectados, executar comandos arbitrários e realizar operações de arquivo.

Algumas variantes selecionadas de WispRider também funcionam como um backdoor com capacidades para contornar uma solução antivírus indonésia chamada Smadav, bem como recorrer ao carregamento lateral de DLL usando componentes de software de segurança como o G-DATA Total Security.

Outro payload de pós-exploração é entregue junto com WispRider é um módulo de roubo referido como monitor de disco (HPCustPartUI.dll) que organiza arquivos com extensões predefinidas (ou seja, docx, mp3, wav, m4a, wma, aac, cda e mid) para exfiltração.

Não é a primeira vez que atores de ameaças chineses foram observados aproveitando dispositivos USB como vetor de infecção para chegar a ambientes muito além do escopo de seus interesses primários.

Em novembro de 2022, a Mandiant, de propriedade do Google, atribuiu a UNC4191, um ator de ameaça com suspeita de conexão com a China, a um conjunto de ataques de espionagem nas Filipinas que levaram à distribuição de malware como MISTCLOAK, DARKDEW e BLUEHAZE.

Um relatório subsequente da Trend Micro em março de 2023 revelou sobreposições entre UNC4191 e Mustang Panda, conectando este último ao uso de MISTCLOAK e BLUEHAZE em campanhas de spear-phishing direcionadas a países do Sudeste Asiático.

O desenvolvimento é um sinal de que os atores de ameaças estão mudando ativamente suas ferramentas, táticas e procedimentos (TTPs) para contornar soluções de segurança, ao mesmo tempo em que contam com uma vasta coleção de ferramentas personalizadas para exfiltrar dados sensíveis das redes das vítimas.

"O grupo APT Camaro Dragon continua a empregar dispositivos USB como método para infectar sistemas direcionados, combinando efetivamente essa técnica com outras táticas estabelecidas", disseram os pesquisadores.

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...