Atores de ameaça vinculados à China foram responsáveis por uma campanha inédita que comprometeu um sistema ArcGIS, transformando-o em uma backdoor por mais de um ano.
Segundo a ReliaQuest, a atividade é atribuída a um grupo de hackers patrocinado pelo Estado chinês chamado Flax Typhoon, também conhecido pelos codinomes Ethereal Panda e RedJuliett.
De acordo com o governo dos EUA, o grupo estaria ligado a uma empresa estatal sediada em Pequim, chamada Integrity Technology Group.
“O grupo modificou de forma inteligente a Java Server Object Extension (SOE) de um aplicativo de geo-mapeamento para criar um web shell funcional”, explicou a empresa de cibersegurança em relatório compartilhado com o The Hacker News.
“Ao proteger o acesso com uma chave hardcoded para controle exclusivo e incorporar a extensão nos backups do sistema, eles garantiram uma persistência profunda e duradoura, capaz de sobreviver a uma recuperação completa do sistema.”
O Flax Typhoon é conhecido por sua estratégia furtiva (stealth), utilizando amplamente técnicas living-off-the-land (LotL) e ações manuais (hands-on keyboard) para transformar componentes legítimos de software em vetores para ataques maliciosos, ao mesmo tempo em que evitam ser detectados.
Esse ataque demonstra como hackers têm abusado cada vez mais de ferramentas e serviços confiáveis para burlar as defesas de segurança e obter acesso não autorizado, misturando suas ações ao tráfego normal dos servidores.
A “cadeia de ataque incomumente inteligente” teve como alvo um servidor ArcGIS exposto publicamente.
Os invasores comprometeram uma conta de administrador do portal para implantar a SOE maliciosa.
“Os atacantes ativaram a SOE maliciosa usando uma extensão padrão [JavaSimpleRESTSOE] do ArcGIS, invocando uma operação REST para executar comandos internamente através do portal público, o que dificultava a detecção da atividade”, detalhou a ReliaQuest.
“Ao incluir uma chave hardcoded, o Flax Typhoon evitou que outros invasores ou administradores curiosos interferissem no acesso.”
O web shell era usado para operações de descoberta de rede, além de estabelecer persistência ao fazer upload de um executável SoftEther VPN renomeado (“bridge.exe”) na pasta System32 e criar um serviço chamado “SysBridge” para iniciar automaticamente o arquivo sempre que o servidor fosse reiniciado.
Esse processo “bridge.exe” estabelecia conexões HTTPS de saída para um endereço IP controlado pelos atacantes, na porta 443, com o principal objetivo de criar um canal VPN oculto para o servidor externo.
“Esta ponte VPN permite que os invasores estendam a rede local da vítima para um local remoto, fazendo com que pareça que o atacante faz parte da rede interna”, explicaram as pesquisadoras Alexa Feminella e James Xiang.
“Isso permitiu que eles batessem a monitoração a nível de rede, funcionando como uma backdoor para movimentos laterais adicionais e exfiltração de dados.”
Os agentes de ameaça também atacaram especificamente duas estações de trabalho do pessoal de TI para obter credenciais e aprofundar a infiltração na rede. A investigação revelou que o adversário teve acesso à conta administrativa e conseguiu redefinir sua senha.
“Este ataque evidencia não apenas a criatividade e sofisticação dos invasores, mas também o risco de que o uso legítimo de funcionalidades do sistema seja transformado em armas para escapar da detecção tradicional”, alertaram os pesquisadores.
“Não se trata apenas de identificar atividades maliciosas, mas de reconhecer como ferramentas e processos legítimos podem ser manipulados contra você.”
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...