Agências governamentais e organizações não-governamentais nos Estados Unidos tornaram-se alvo de um novo ator de ameaça do estado chinês conhecido como Storm-2077.
O adversário, acredita-se ser ativo desde pelo menos janeiro de 2024, também realizou ataques cibernéticos contra a Base Industrial de Defesa (DIB), aviação, telecomunicações e serviços financeiros e jurídicos pelo mundo, disse a Microsoft.
O cluster de atividades, a empresa adicionou, se sobrepõe a um grupo de ameaças que o Insikt Group da Recorded Future está acompanhando como TAG-100.
As cadeias de ataque envolveram a mira em vários dispositivos de borda voltados para a internet usando exploits disponíveis publicamente para ganhar acesso inicial e dropar Cobalt Strike, assim como malware de código aberto como Pantegana e Spark RAT, a empresa de cibersegurança observou em julho.
"Na última década, seguindo numerosos indiciamentos governamentais e a divulgação pública das atividades dos atores de ameaça, rastrear e atribuir operações cibernéticas originárias da China tornou-se cada vez mais desafiador à medida que os atacantes ajustam suas táticas", disse a Microsoft.
Diz-se que o Storm-2077 orquestra missões de coleta de inteligência usando e-mails de phishing para colher credenciais válidas associadas a aplicações de eDiscovery para subsequente exfiltração de e-mails, que poderiam conter informações sensíveis que poderiam habilitar os atacantes a avançar suas operações.
"Em outros casos, o Storm-2077 foi observado ganhando acesso a ambientes em nuvem através da colheita de credenciais de endpoints comprometidos", disse a Microsoft.
Uma vez que o acesso administrativo foi obtido, o Storm-2077 criou sua própria aplicação com direitos de leitura de e-mail.
A revelação vem à medida que o Grupo de Inteligência de Ameaças do Google (TAG) lançou luz sobre uma operação de influência pró-China (IO) chamada GLASSBRIDGE que emprega uma rede de sites de notícias inautênticos e serviços de newswire para amplificar narrativas alinhadas com as visões e a agenda política do país globalmente.
O gigante da tecnologia disse que bloqueou mais de mil websites operados pela GLASSBRIDGE de aparecerem nos seus produtos Google News e Google Discover desde 2022.
"Esses sites de notícias inautênticos são operados por um pequeno número de firmas de RP digitais independentes que oferecem serviços de newswire, sindicação e marketing", disse a pesquisadora do TAG, Vanessa Molter.
"Eles se passam por veículos independentes que republicam artigos da mídia estatal da RPC, comunicados de imprensa e outros conteúdos provavelmente encomendados por clientes de outras agências de RP." Isso inclui empresas conhecidas como Shanghai Haixun Technology (que inclui o cluster HaiEnergy), Times Newswire/Shenzhen Haimai Yunxiang Media (também conhecida como campanha PAPERWALL), Shenzhen Bowen Media, e DURINBRIDGE, sendo esta última uma empresa comercial distribuindo conteúdo para Haixun e DRAGONBRIDGE.
Shenzhen Bowen Media, uma firma de marketing baseada na China, também é dita como operadora do World Newswire, o mesmo serviço de distribuição de comunicados de imprensa usado por Haixun para colocar conteúdo pró-Pequim nos subdomínios de veículos de notícias legítimos, como revelado pelo Mandiant do Google em julho de 2023.
Alguns dos subdomínios identificados foram markets.post-gazette[.]com, markets.buffalonews[.]com, business.ricentral[.]com, business.thepilotnews[.]com, e finance.azcentral[.]com, entre outros.
"Os sites de notícias inautênticos operados pela GLASSBRIDGE ilustram como os atores de operações de informação adotaram métodos além das redes sociais em uma tentativa de espalhar suas narrativas", disse Molter.
Ao se passarem por veículos de notícias independentes, e muitas vezes locais, os atores de IO podem adaptar seu conteúdo a públicos regionais específicos e apresentar suas narrativas como conteúdo de notícias e editoriais aparentemente legítimos.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...