Grupo de hackers chinês Earth Longzhi ressurge com táticas avançadas de malware
4 de Maio de 2023

Um grupo de hackers patrocinado pelo estado chinês ressurgiu com uma nova campanha direcionada a entidades governamentais, de saúde, tecnologia e manufatura com base em Taiwan, Tailândia, Filipinas e Fiji, depois de mais de seis meses sem atividade.

A Trend Micro atribuiu o conjunto de intrusões a um grupo de espionagem cibernética que rastreia sob o nome de Earth Longzhi, que é um subgrupo dentro do APT41 (também conhecido como HOODOO ou Winnti) e compartilha sobreposições com vários outros clusters conhecidos como Earth Baku, SparklingGoblin e GroupCC.

Earth Longzhi foi documentado pela primeira vez pela empresa de segurança cibernética em novembro de 2022, detalhando seus ataques contra várias organizações localizadas no leste e sudeste da Ásia, bem como na Ucrânia.

As cadeias de ataque montadas pelo ator ameaçador usam aplicativos vulneráveis ​​de frente pública como pontos de entrada para implantar o shell da web BEHINDER e, em seguida, aproveitam esse acesso para soltar payloads adicionais, incluindo uma nova variante de um carregador Cobalt Strike chamado CroxLoader.

O malware, chamado SPHijacker, utiliza uma segunda técnica referida como "stack rumbling" para alcançar o mesmo objetivo, que envolve fazer alterações no Registro do Windows para interromper o fluxo de execução do processo e causar deliberadamente a falha das aplicações visadas no lançamento.

As abordagens gêmeas estão longe de serem os únicos métodos que podem ser usados ​​para prejudicar produtos de segurança.

Trend Micro observou que identificou documentos isca escritos em vietnamita e indonésio, indicando possíveis tentativas de atingir usuários em ambos os países no futuro.

"Earth Longzhi continua ativo e continua a melhorar suas táticas, técnicas e procedimentos (TTPs)", observaram os pesquisadores de segurança Ted Lee e Hara Hiroaki.

"As organizações devem permanecer vigilantes contra o desenvolvimento contínuo de novos esquemas furtivos por parte de criminosos cibernéticos."

Publicidade

Traçamos um caminho para você ir do zero ao avançado em hacking

Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...