Um suspeito ator de ameaças chinês teve como alvo uma grande organização dos EUA no início deste ano, como parte de uma intrusão que durou quatro meses.
Segundo a Symantec, que pertence à Broadcom, as primeiras evidências da atividade maliciosa foram detectadas em 11 de abril de 2024 e continuaram até agosto.
No entanto, a empresa não descarta a possibilidade de que a intrusão possa ter ocorrido antes.
"Os atacantes se movimentaram lateralmente pela rede da organização, comprometendo múltiplos computadores", disse a Equipe de Caçadores de Ameaças da Symantec em um relatório compartilhado com o The Hacker News.
"Algumas das máquinas visadas eram servidores Exchange, sugerindo que os atacantes estavam coletando inteligência ao colher e-mails.
Ferramentas de exfiltração também foram implantadas, sugerindo que dados direcionados foram retirados das organizações."
O nome da organização que foi impactada pela persistente campanha de ataque não foi divulgado, mas foi observado que a vítima tem uma presença significativa na China.
As ligações com a China como o potencial culpado vêm do uso de DLL side-loading, que é uma tática preferida entre vários grupos de ameaças chineses, e a presença de artefatos previamente identificados como empregados em conexão com uma operação patrocinada pelo Estado codinome Crimson Palace.
Outro ponto de interesse é que a organização foi alvo em 2023 por um atacante com ligações provisórias a outra equipe de hacking baseada na China chamada Daggerfly, que também é referida como Bronze Highland, Evasive Panda, e StormBamboo.
Além de usar DLL side-loading para executar payloads maliciosas, o ataque envolve o uso de ferramentas de código aberto como FileZilla, Impacket e PSCP, ao mesmo tempo que emprega programas living-off-the-land (LotL) como Windows Management Instrumentation (WMI), PsExec e PowerShell.
O mecanismo exato de acesso inicial usado para violar a rede permanece desconhecido nesta fase.
Dito isso, a análise da Symantec encontrou que a máquina na qual os primeiros indicadores de comprometimento foram detectados incluía um comando que foi executado via WMI de outro sistema na rede.
"O fato do comando ter originado de outra máquina na rede sugere que os atacantes já tinham comprometido pelo menos uma outra máquina na rede da organização e que a intrusão pode ter começado antes de 11 de abril", disse a empresa.
Algumas das outras atividades maliciosas que foram subsequentemente realizadas pelos atacantes variaram desde o roubo de credenciais e execução de arquivos DLL maliciosos até o direcionamento de servidores Microsoft Exchange e o download de ferramentas como FileZilla, PSCP e WinRAR.
"Um grupo no qual os atacantes estavam particularmente interessados é o 'servidores Exchange', sugerindo que os atacantes estavam tentando visar servidores de e-mail para coletar e possivelmente exfiltrar dados de e-mail", disse a Symantec.
O desenvolvimento acontece enquanto a Orange Cyberdefense detalhou as relações privadas e públicas dentro do ecossistema ofensivo cibernético chinês, enquanto também destacou o papel desempenhado por universidades para pesquisa de segurança e contratados para hackear sob a direção de entidades estatais.
"Em muitos casos, indivíduos ligados ao [Ministério da Segurança do Estado] ou unidades do [Exército de Libertação Popular] registram empresas fictícias para obscurecer a atribuição de suas campanhas ao estado chinês", disse.
"Essas empresas fictícias, que não se envolvem em atividades lucrativas reais, podem ajudar a adquirir infraestrutura digital necessária para conduzir os ciberataques sem chamar atenção indesejada.
Eles também servem como fachadas para recrutar pessoal para papéis que apoiam as operações de hacking."
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...