O ator de ameaças conhecido como Mysterious Elephant foi observado utilizando uma versão avançada de malware chamada Asyncshell.
A campanha de ataque teria utilizado iscas temáticas do Hajj para enganar as vítimas, fazendo com que executassem um payload sob o disfarce de um arquivo de Ajuda Compilada em HTML da Microsoft (CHM), segundo análise publicada hoje pela equipe da Knownsec 404.
Mysterious Elephant, também conhecido como APT-K-47, é um ator de ameaça de origem sul-asiática que está ativo desde pelo menos 2022, visando principalmente entidades paquistanesas.
As táticas e ferramentas do grupo mostraram semelhanças com as de outros atores de ameaças que operam nas regiões, como SideWinder, Confucius e Bitter.
Em outubro de 2023, o grupo foi associado a uma campanha de spear-phishing que entregou uma backdoor chamada ORPCBackdoor como parte de ataques direcionados contra o Paquistão e outros países.
O vetor de acesso inicial exato utilizado pelo Mysterious Elephant na campanha mais recente não é conhecido, mas provavelmente envolve o uso de e-mails de phishing.
O método leva à entrega de um arquivo ZIP que contém dois arquivos: um arquivo CHM que afirma ser sobre a política do Hajj em 2024 e um arquivo executável oculto.
Quando o CHM é iniciado, ele é usado para exibir um documento isca, um arquivo PDF legítimo hospedado no site do Ministério dos Assuntos Religiosos e da Harmonia Inter-religiosa do governo do Paquistão, enquanto o binário é executado furtivamente em segundo plano.
Sendo um malware relativamente simples, é projetado para estabelecer um cmd shell com um servidor remoto, com a Knownsec 404 identificando sobreposições funcionais com Asyncshell, outra ferramenta que o ator de ameaça tem usado repetidamente desde o segundo semestre de 2023.
Até quatro versões diferentes de Asyncshell foram descobertas até agora, com capacidades para executar cmd e comandos PowerShell.
Cadeias de ataque iniciais distribuindo o malware foram encontradas para explorar a falha de segurança do WinRAR (
CVE-2023-38831
, pontuação CVSS: 7.8) para desencadear a infecção.
Além disso, iterações subsequentes do malware passaram de usar TCP para HTTPS para comunicações de comando-e-controle (C2), sem mencionar o uso de uma sequência de ataque atualizada que emprega um Script Visual Basic para mostrar o documento isca e lançá-lo por meio de uma tarefa agendada.
"Pode-se ver que APT-K-47 tem frequentemente usado Asyncshell para lançar atividades de ataque desde 2023, e tem gradualmente atualizado a cadeia de ataque e o código do payload", disse a equipe da Knownsec 404.
Em atividades de ataque recentes, este grupo inteligentemente usou solicitações de serviço disfarçadas para controlar o endereço final do servidor shell, mudando do C2 fixo de versões anteriores para o C2 variável, o que mostra a importância que a organização APT-k-47 internamente dá para Asyncshell.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...