O ator de ameaças apoiado pela China, conhecido como Earth Baku, diversificou seu alvo para além da região do Indo-Pacífico, incluindo Europa, Oriente Médio e África a partir do final de 2022.
Os países recentemente visados como parte dessa atividade incluem Itália, Alemanha, Emirados Árabes Unidos (U.A.E.) e Catar, com ataques suspeitos também detectados na Geórgia e Romênia.
Governos, mídia e comunicações, telecomunicações, tecnologia, saúde e educação são alguns dos setores destacados como parte do conjunto de intrusões.
"O grupo atualizou suas ferramentas, táticas e procedimentos (TTPs) em campanhas mais recentes, utilizando aplicações voltadas ao público, como servidores IIS, como pontos de entrada para ataques, após os quais implantam conjuntos de malware sofisticados no ambiente da vítima", disseram os pesquisadores da Trend Micro, Ted Lee e Theo Chen, em uma análise publicada na semana passada.
Os achados se baseiam em relatórios recentes da Zscaler e da Mandiant, de propriedade do Google, que também detalharam o uso pelo ator de ameaças de famílias de malware como DodgeBox (também conhecido como DUSTPAN) e MoonWalk (também conhecido como DUSTTRAP).
A Trend Micro deu a eles os codinomes StealthReacher e SneakCross.
Earth Baku, um ator de ameaça associado ao APT41, é conhecido pelo uso do StealthVector desde outubro de 2020.
As cadeias de ataque envolvem a exploração de aplicações voltadas ao público para soltar o web shell Godzilla, que é então usado para entregar payloads subsequentes.
StealthReacher foi classificado como uma versão aprimorada do carregador de backdoor StealthVector, responsável por lançar o SneakCross, um implante modular e sucessor provável do ScrambleCross que utiliza os serviços do Google para sua comunicação de comando e controle (C2).
Os ataques também são caracterizados pelo uso de outras ferramentas de pós-exploração, como iox, Rakshasa e um serviço de Rede Privada Virtual (VPN) conhecido como Tailscale.
A exfiltração de dados sensíveis para o serviço de armazenamento em nuvem MEGA é realizada por meio de uma ferramenta de linha de comando apelidada de MEGAcmd.
"O grupo empregou novos carregadores como o StealthVector e o StealthReacher, para lançar discretamente componentes de backdoor, e adicionou o SneakCross como seu backdoor modular mais recente", disseram os pesquisadores.
O Earth Baku também usou várias ferramentas durante sua pós-exploração, incluindo uma ferramenta iox personalizada, Rakshasa, TailScale para persistência e MEGAcmd para exfiltração eficiente de dados.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...