O ator de ameaças patrocinado pelo estado chinês, conhecido como APT41 (também conhecido como Brass Typhoon, Earth Baku, Wicked Panda ou Winnti), foi apontado como responsável por um sofisticado ciberataque direcionado à indústria de jogos e apostas.
"Por um período de pelo menos seis meses, os atacantes coletaram furtivamente informações valiosas da empresa alvo, incluindo, mas não se limitando a, configurações de rede, senhas de usuários e segredos do processo LSASS," disse Ido Naor, co-fundador e CEO da empresa israelense de cibersegurança Security Joes, em uma declaração compartilhada.
Durante a intrusão, os atacantes atualizavam continuamente seu conjunto de ferramentas com base na resposta da equipe de segurança.
Observando as ações dos defensores, alteravam suas estratégias e ferramentas para evitar a detecção e manter acesso persistente à rede comprometida.
O ataque multi-estágio, que teve como alvo um de seus clientes e durou quase nove meses este ano, exibe sobreposições com um conjunto de intrusões rastreado pelo fornecedor de cibersegurança Sophos sob o nome de Operação Crimson Palace.
Naor disse que a empresa respondeu ao incidente quatro meses atrás, acrescentando esses ataques dependem de decisores patrocinados pelo estado.
Desta vez, suspeitamos com alta confiança de que o APT41 estava atrás de ganho financeiro.
A campanha foi projetada com furtividade em mente, utilizando um leque de táticas para alcançar seus objetivos, usando um conjunto de ferramentas customizado que não apenas burla o software de segurança instalado no ambiente, mas também coleta informações críticas e estabelece canais ocultos para acesso remoto persistente.
A Security Joes descreveu o APT41 como "altamente qualificado e metódico", destacando sua capacidade de realizar ataques de espionagem, além de contaminar a cadeia de suprimentos, levando ao roubo de propriedade intelectual e intrusões motivadas financeiramente, como ransomware e mineração de criptomoedas.
O vetor de acesso inicial exato usado no ataque é atualmente desconhecido, mas as evidências inclinam-se para serem e-mails de spear-phishing, dada a ausência de vulnerabilidades ativas em aplicações web voltadas à internet ou um comprometimento da cadeia de suprimentos.
Uma vez dentro da infraestrutura alvo, os atacantes executaram um ataque DCSync, visando colher hashes de senhas de contas de serviço e administração para expandir seu acesso, a empresa disse em seu relatório.
Com essas credenciais, estabeleceram persistência e mantiveram controle sobre a rede, focando particularmente em contas administrativas e de desenvolvedores.
Diz-se que os atacantes realizaram reconhecimento e atividades pós-exploração de forma metódica, frequentemente ajustando seu conjunto de ferramentas em resposta às medidas tomadas para contrariar a ameaça e escalar seus privilégios com o objetivo final de baixar e executar payloads adicionais.
Algumas das técnicas utilizadas para realizar seus objetivos incluem Phantom DLL Hijacking e o uso da utilidade legítima wmic.exe, sem mencionar o abuso de seu acesso a contas de serviço com privilégios de administrador para desencadear a execução.
A próxima etapa é um arquivo DLL malicioso chamado TSVIPSrv.dll que é recuperado pelo protocolo SMB, após o qual o payload estabelece contato com um servidor de comando e controle (C2) codificado.
"Se o C2 codificado falhar, o implante tenta atualizar suas informações de C2 raspando usuários do GitHub usando a seguinte URL: github[.]com/search?o=desc&q=pointers&s=joined&type=Users&."
O malware analisa o HTML retornado da consulta ao GitHub, procurando sequências de palavras maiúsculas separadas apenas por espaços.
Ele coleta oito dessas palavras, depois extrai apenas as letras maiúsculas entre A e P.
Este processo gera uma string de 8 caracteres, que codifica o endereço IP do novo servidor C2 que será usado no ataque.
O contato inicial com o servidor C2 abre caminho para o perfil do sistema infectado e a busca de mais malware a ser executado por meio de uma conexão de socket.
A Security Joes disse que os atores de ameaças ficaram silenciosos por várias semanas após suas atividades serem detectadas, mas eventualmente retornaram com uma abordagem reformulada para executar código JavaScript fortemente ofuscado presente dentro de uma versão modificada de um arquivo XSL ("texttable.xsl") usando o LOLBIN wmic.exe.
"Uma vez que o comando WMIC.exe MEMORYCHIP GET é lançado, ele carrega indiretamente o arquivo texttable.xsl para formatar a saída, forçando a execução do código JavaScript malicioso injetado pelo atacante," os pesquisadores explicaram.
O JavaScript, por sua vez, serve como um downloader que usa o domínio time.qnapntp[.]com como um servidor C2 para recuperar um payload de acompanhamento que faz o fingerprint da máquina e envia as informações de volta ao servidor, sujeito a certos critérios de filtragem que provavelmente serve para direcionar apenas aqueles aparelhos que são de interesse para o ator de ameaça.
"O que realmente se destaca no código é o direcionamento deliberado de máquinas com endereços IP contendo a subcadeia '10.20.22,'" disseram os pesquisadores.
Isso destaca quais dispositivos específicos são valiosos para o atacante, nomeadamente aqueles nas sub-redes 10.20.22[0-9].[0-255].
Ao correlacionar essa informação com registros de rede e os endereços IP dos dispositivos onde o arquivo foi encontrado, concluímos que o atacante estava usando esse mecanismo de filtragem para garantir que apenas dispositivos dentro da sub-rede VPN fossem afetados.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...