Uma organização sem fins lucrativos islâmica não identificada na Arábia Saudita foi alvo de uma campanha furtiva de espionagem cibernética projetada para implantar uma backdoor, anteriormente não documentada, chamada Zardoor.
Cisco Talos, que descobriu a atividade em maio de 2023, disse que a campanha provavelmente persistiu desde pelo menos março de 2021, acrescentando que até agora só identificou um alvo comprometido, embora suspeite que pode haver outras vítimas.
"Ao longo da campanha, o adversário usou binários vivendo fora do terreno (LoLBins) para implantar backdoors, estabelecer comando e controle (C2) e manter persistência", disseram os pesquisadores de segurança Jungsoo An, Wayne Lee e Vanja Svajcer destacando a habilidade do ator da ameaça de manter acesso a longo prazo aos ambientes das vítimas sem chamar a atenção.
A intrusão na organização de caridade islâmica envolvia a exfiltração periódica de dados aproximadamente duas vezes por mês.
A rota de acesso inicial usada para infiltrar a entidade é atualmente desconhecida.
O ponto de apoio obtido, no entanto, foi usado para implantar o Zardoor de forma persistente, seguido pelo estabelecimento de conexões C2 usando ferramentas de proxy reverso de código aberto, como Fast Reverse Proxy (FRP), sSocks and Venom.
"Uma vez estabelecida a conexão, o ator da ameaça utilizou o Windows Management Instrumentation (WMI) para se mover lateralmente e espalhar as ferramentas do invasor - incluindo o Zardoor - gerando processos no sistema-alvo e executando comandos recebidos do C2", disseram os pesquisadores.
O caminho de infecção ainda indeterminado abre caminho para um componente dropper que, por sua vez, implanta uma biblioteca de vínculos dinâmicos maliciosa ("oci.dll") responsável por entregar dois módulos de backdoor, "zar32.dll" e "zor32.dll."
Enquanto o primeiro é o elemento principal de backdoor que facilita as comunicações C2, o último garante que "zar32.dll" tenha sido implantada com privilégios de administrador.
Zardoor é capaz de exfiltrar dados, executar executáveis e shellcodes buscados remotamente, atualizar o endereço IP do C2 e se autoexcluir do host.
As origens do ator da ameaça por trás da campanha são incertas e não compartilham nenhuma sobreposição tática com qualquer ator de ameaça conhecido e relatado publicamente neste momento.
Dito isso, é avaliado como sendo o trabalho de um "ator de ameaça avançado".
Publicidade
O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...