Um ator de ameaças vinculado à China, conhecido como APT17, foi observado mirando em empresas e entidades governamentais italianas usando uma variante de um malware conhecido como 9002 RAT.
Os dois ataques direcionados ocorreram em 24 de junho e 2 de julho de 2024, disse a empresa de cibersegurança italiana TG Soft em uma análise publicada na semana passada.
"A primeira campanha em 24 de junho de 2024 usou um documento do Office, enquanto a segunda campanha continha um link", observou a empresa.
Ambas as campanhas convidavam a vítima a instalar um pacote Skype for Business de um link de um domínio semelhante ao do governo italiano para veicular uma variante do 9002 RAT.
APT17 foi documentado pela primeira vez pela Mandiant, de propriedade do Google (na época FireEye), em 2013 como parte de operações de espionagem cibernética chamadas DeputyDog e Ephemeral Hydra que exploravam falhas de zero-day no Internet Explorer da Microsoft para violar alvos de interesse.
Ele também é conhecido pelos codinomes Aurora Panda, Bronze Keystone, Dogfish, Elderwood, Helium, Hidden Lynx e TEMP.Avengers, com o adversário compartilhando algum nível de sobreposição de ferramentas com outro ator de ameaça apelidado de Webworm.
9002 RAT, também conhecido como Hydraq e McRAT, ganhou notoriedade como a arma cibernética de escolha na Operação Aurora que visou a Google e outras grandes empresas em 2009.
Também foi posteriormente utilizado em outra campanha de 2013 chamada Sunshop na qual os atacantes injetaram redirecionamentos maliciosos em vários sites.
As mais recentes cadeias de ataque envolvem o uso de iscas de spear-phishing para enganar os destinatários a clicar em um link que os insta a baixar um instalador MSI para o Skype for Business ("SkypeMeeting.msi").
O lançamento do pacote MSI dispara a execução de um arquivo Java archive (JAR) por meio de um Script Visual Basic (VBS), ao mesmo tempo em que instala o software de chat legítimo no sistema Windows.
A aplicação Java, por sua vez, descriptografa e executa o shellcode responsável por lançar o 9002 RAT.
Um trojan modular, o 9002 RAT vem com recursos para monitorar o tráfego de rede, capturar telas, enumerar arquivos, gerenciar processos e executar comandos adicionais recebidos de um servidor remoto para facilitar a descoberta de rede, entre outros.
"O malware parece estar constantemente atualizado com variantes sem disco também", disse a TG Soft.
Ele é composto por vários módulos que são ativados conforme necessário pelo ciberator para reduzir a possibilidade de interceptação.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...