Um ator de ameaça suspeito de base chinesa foi vinculado a uma série de ataques cibernéticos direcionados a organizações de alto perfil no Sudeste Asiático desde pelo menos outubro de 2023.
A campanha de espionagem visava organizações em vários setores abrangendo ministérios governamentais em dois países diferentes, uma organização de controle de tráfego aéreo, uma empresa de telecomunicações e um veículo de mídia, disse a Symantec Threat Hunter Team em um novo relatório compartilhado.
Os ataques, que se utilizaram de ferramentas previamente identificadas como vinculadas a grupos de ameaça persistente avançada (APT) baseados na China, são caracterizados pelo uso de técnicas de código aberto e living-off-the-land (LotL).
Isso inclui o uso de programas de reverse proxy, como Rakshasa e Stowaway, bem como ferramentas de descoberta e identificação de ativos, keyloggers e ladrões de senha.
Também foi implantado durante o curso dos ataques o PlugX (também conhecido como Korplug), um trojan de acesso remoto usado por vários grupos de hackers chineses.
"Os atores de ameaças também instalam arquivos DLL personalizados que atuam como filtros de mecanismo de autenticação, permitindo-lhes interceptar credenciais de login," observou a Symantec.
Em um dos ataques direcionados a uma entidade que durou três meses entre junho e agosto de 2024, o adversário conduziu atividades de reconhecimento e dumping de senhas, ao mesmo tempo que instalava um keylogger e executava payloads DLL capazes de capturar informações de login do usuário.
A Symantec observou que os atacantes conseguiram manter o acesso oculto às redes comprometidas por períodos prolongados, permitindo-lhes colher senhas e mapear redes de interesse.
As informações coletadas foram compactadas em arquivos protegidos por senha usando o WinRAR e, em seguida, carregadas para serviços de armazenamento em nuvem, como o File.io.
"Este tempo prolongado de permanência e abordagem calculada sublinham a sofisticação e persistência dos atores de ameaças," notou a empresa.
A localização geográfica das organizações visadas, bem como o uso de ferramentas ligadas anteriormente a grupos APT baseados na China, sugerem que essa atividade é obra de atores baseados na China.
Vale ressaltar que a ambiguidade na atribuição desses ataques a um ator de ameaça chinês específico sublinha a dificuldade de rastrear grupos de espionagem cibernética quando eles frequentemente compartilham ferramentas e usam tradecrafts similares.
As tensões geopolíticas no Sudeste Asiático, sobre disputas territoriais em andamento no Mar do Sul da China, têm sido complementadas por uma série de ataques cibernéticos visando a região, conforme evidenciado pela atividade de grupos de ameaças rastreados como Unfading Sea Haze, Mustang Panda, CeranaKeeper e Operation Crimson Palace.
O desenvolvimento vem um dia após a SentinelOne SentinelLabs e a Tinexta Cyber divulgarem ataques realizados por um grupo de espionagem cibernética com nexus na China visando grandes provedores de serviços de TI business-to-business no Sul da Europa como parte de um cluster de atividade batizado de Operation Digital Eye.
Na semana passada, a Symantec também revelou que uma grande organização dos EUA, não nomeada, foi violada por atores de ameaças provavelmente chineses entre abril e agosto de 2024, durante os quais se movimentaram lateralmente por sua rede, comprometendo vários computadores e potencialmente exfiltrando dados.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...