Um grupo de atividades ameaçadoras anteriormente desconhecido visou organizações europeias, particularmente aquelas no setor de saúde, para implantar PlugX e seu sucessor, ShadowPad, com as intrusões levando ao eventual uso de um ransomware chamado NailaoLocker em alguns casos.
A campanha, codinome Green Nailao pela CERT da Orange Cyberdefense, envolveu a exploração de uma nova falha de segurança corrigida nos produtos de segurança de gateway de rede Check Point (
CVE-2024-24919
, pontuação CVSS: 7.5).
Os ataques foram observados entre junho e outubro de 2024.
"A campanha confiou no hijacking da ordem de busca de DLL para implantar o ShadowPad e o PlugX – dois implantes frequentemente associados a intrusões direcionadas com nexos à China," a empresa disse em um relatório técnico compartilhado.
O acesso inicial proporcionado pela exploração de instâncias vulneráveis do Check Point teria permitido aos atores de ameaças recuperar credenciais de usuários e conectar-se à VPN usando uma conta legítima.
Na próxima fase, os atacantes realizaram reconhecimento de rede e movimento lateral via protocolo de desktop remoto (RDP) para obter privilégios elevados, seguido da execução de um binário legítimo ("logger.exe") para carregar uma DLL maliciosa ("logexts.dll") que então serve como um carregador para uma nova versão do malware ShadowPad.
Iterações anteriores dos ataques detectadas em agosto de 2024 foram encontradas empregando artifícios similares para entregar o PlugX, que também utiliza o carregamento lateral de DLL usando um executável da McAfee ("mcoemcpy.exe") para carregar "McUtil.dll".
Como o PlugX, o ShadowPad é um malware vendido privadamente que é usado exclusivamente por atores de espionagem chineses desde pelo menos 2015.
A variante identificada pela CERT da Orange Cyberdefense apresenta ofuscação sofisticada e medidas anti-debug, além de estabelecer comunicação com um servidor remoto para criar acesso remoto persistente aos sistemas das vítimas.
Há evidências que sugerem que os atores de ameaças tentaram exfiltrar dados acessando o sistema de arquivos e criando arquivos ZIP.
As intrusões culminam com o uso do Windows Management Instrumentation (WMI) para transmitir três arquivos, um executável legítimo assinado pela Beijing Huorong Network Technology Co., Ltd ("usysdiag.exe"), um carregador chamado NailaoLoader ("sensapi.dll"), e NailaoLocker ("usysdiag.exe.dat").
Mais uma vez, o arquivo DLL é carregado lateralmente via "usysdiag.exe" para descriptografar e acionar a execução do NailaoLocker, um ransomware baseado em C++ que criptografa arquivos, adiciona a eles uma extensão ".locked" e deixa uma nota de resgate exigindo que as vítimas façam um pagamento em bitcoin ou entrem em contato por um endereço de Proton Mail.
"O NailaoLocker é relativamente pouco sofisticado e mal projetado, aparentemente não destinado a garantir uma criptografia completa," disseram os pesquisadores Marine Pichon e Alexis Bonnefoi.
Ele não varre compartilhamentos de rede, não interrompe serviços ou processos que poderiam impedir a criptografia de certos arquivos importantes, [e] não verifica se está sendo depurado.
A Orange atribuiu a atividade com confiança média a um ator de ameaça alinhado à China devido ao uso do implante ShadowPad, o uso de técnicas de carregamento lateral de DLL e o fato de que esquemas de ransomware similares foram atribuídos a outro grupo de ameaça chinês chamado Bronze Starlight.
Além disso, o uso de "usysdiag.exe" para carregar payloads úteis de próxima etapa foi previamente observado em ataques realizados por um conjunto de intrusos vinculado à China rastreado pela Sophos sob o nome Cluster Alpha (também conhecido como STAC1248).
Enquanto os objetivos exatos da campanha de espionagem e ransomware são claros, suspeita-se que os atores de ameaças estejam procurando obter lucros rápidos paralelamente.
"Isso pode ajudar a explicar o contraste de sofisticação entre o ShadowPad e o NailaoLocker, com o NailaoLocker às vezes até tentando imitar as técnicas de carregamento do ShadowPad," disseram os pesquisadores.
Embora tais campanhas possam às vezes ser conduzidas de forma oportunista, elas frequentemente permitem que grupos de ameaças ganhem acesso a sistemas de informação que podem ser usados mais tarde para conduzir outras operações ofensivas.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...