Uma campanha de ciberespionagem atribuída à China vem mirando provedores de telecomunicações com dois malwares recém-descobertos para Linux e Windows, batizados de Showboat e JMFBackdoor, respectivamente.
A operação está ativa desde pelo menos meados de 2022 e atingiu organizações em diferentes países da Ásia-Pacífico e em partes do Oriente Médio.
A autoria foi atribuída ao grupo de ameaça Calypso, também monitorado como Red Lamassu.
Segundo pesquisadores da Black Lotus Labs, da Lumen, e da PwC Threat Intelligence, o threat actor montou e usou vários domínios com temática de telecomunicações para se passar por suas vítimas.
No Linux, o implante usado nesses ataques é conhecido como Showboat, ou Showboat/kworker.
Trata-se de um framework modular de pós-exploração criado para manter persistência de longo prazo após a invasão inicial.
O vetor de infecção original ainda não foi identificado.
De acordo com um relatório divulgado hoje pela Black Lotus Labs, assim que o Showboat é implantado em um sistema comprometido, ele passa a coletar informações sobre o host e as envia para um servidor de command and control (C2).
O malware também pode enviar e receber arquivos, ocultar o próprio processo e estabelecer persistência por meio da criação de um novo serviço.
“Uma característica notável é o comando ‘hide’, que permite a um processo se ocultar em uma máquina hospedeira ao recuperar código armazenado em sites externos, como o Pastebin, ou em fóruns online, para uso como um ‘dead drop’”, explicam os pesquisadores da Black Lotus Labs, da Lumen.
Sua função mais relevante é atuar como um proxy SOCKS5 e ponto de pivotamento para encaminhamento de portas, servindo como ponto de apoio em endpoints comprometidos e permitindo que os invasores avancem para outros sistemas da rede interna.
Pesquisadores da PwC Threat Intelligence analisaram a cadeia de infecção do Red Lamassu no Windows e observaram que ela começa com a execução de um script em lote que solta payloads para iniciar um processo de DLL sideloading, com fltMC.exe e FLTLIB.dll.
No fim, o payload final, chamado JMFBackdoor, é carregado.
Segundo os pesquisadores, o JMFBackdoor é um implante completo de espionagem para Windows, com os seguintes recursos:
Acesso a shell reversa, com execução remota de comandos na máquina infectada.
Gerenciamento de arquivos, com envio, download, modificação, movimentação e exclusão de arquivos.
Proxy TCP, usando o sistema da vítima como retransmissor de rede para sistemas internos.
Gerenciamento de processos e serviços, com capacidade de iniciar, parar, criar ou encerrar processos e serviços.
Manipulação do Registro, com alteração de chaves e valores do Windows.
Captura de tela, com registro do desktop da vítima e criptografia das imagens para exfiltração.
Gerenciamento de configuração criptografada, com armazenamento e atualização das configurações do malware em arquivos protegidos.
Autorremoção e anti-forense, com ocultação de atividades, remoção de persistência e eliminação de rastros.
A análise da infraestrutura sugere que os hackers operam com um modelo parcialmente descentralizado.
Nesse formato, vários clusters compartilham padrões semelhantes de geração de certificados e ferramentas, mas miram conjuntos distintos de vítimas.
A Lumen conclui que o arsenal provavelmente é compartilhado por vários grupos de ameaça alinhados à China, cada um focado em regiões diferentes e usando o mesmo ecossistema de malware.
Publicidade
Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...