Clusters de atividades maliciosas afiliadas aos ecossistemas cibercriminosos chineses e russos foram observados utilizando um novo malware projetado para carregar o Cobalt Strike em máquinas infectadas.
Batizado de SILKLOADER pela empresa finlandesa de segurança cibernética WithSecure, o malware utiliza técnicas de carregamento lateral DLL para entregar software de simulação de adversário comercial.
Esse desenvolvimento ocorre à medida que as capacidades de detecção aprimoradas contra o Cobalt Strike, uma ferramenta legítima de pós-exploração usada em operações de equipe vermelha, estão forçando os atores de ameaças a buscar opções alternativas ou conceber novas maneiras de propagar o framework para evitar detecção.
"A mais comum dessas opções inclui adicionar complexidade às payloads geradas automaticamente do beacon ou stager por meio da utilização de empacotadores, criptografadores, loaders ou técnicas semelhantes", disseram os pesquisadores da WithSecure.
O SILKLOADER se junta a outros loaders, como KoboldLoader, MagnetLoader e LithiumLoader, que foram recentemente descobertos incorporando componentes do Cobalt Strike.
Ele também compartilha semelhanças com o LithiumLoader, pois ambos empregam o método de carregamento lateral DLL para sequestrar um aplicativo legítimo com o objetivo de executar uma biblioteca de vínculo dinâmico (DLL) separada e maliciosa.
O SILKLOADER realiza isso por meio de arquivos libvlc.dll especialmente criados que são deixados junto com um binário de reprodutor de mídia VLC legítimo, mas renomeado (Charmap.exe).
"Os beacons do Cobalt Strike são muito conhecidos e as detecções contra eles em uma máquina bem protegida são praticamente garantidas", disse o pesquisador da WithSecure, Hassan Nejad.
"No entanto, adicionando camadas adicionais de complexidade ao conteúdo do arquivo e lançando-o por meio de um aplicativo conhecido, como o VLC Media Player, via carregamento lateral, os atacantes esperam evitar esses mecanismos de defesa".
A WithSecure disse que identificou o loader de shellcode após uma análise de "várias intrusões operadas por humanos" visando várias entidades em uma ampla gama de organizações localizadas no Brasil, França e Taiwan no quarto trimestre de 2022.
Embora esses ataques tenham sido mal sucedidos, a atividade é suspeita de ser uma preparação para implantações de ransomware, com as táticas e ferramentas "muito sobrepostas" às atribuídas aos operadores do ransomware Play.
Em um ataque direcionado a uma organização francesa de bem-estar social não identificada, o ator de ameaça ganhou um ponto de apoio na rede explorando um dispositivo de VPN SSL Fortinet comprometido para encenar beacons do Cobalt Strike.
"O ator de ameaça manteve um ponto de apoio nessa organização por vários meses", disse a WithSecure.
"Durante esse tempo, eles realizaram atividades de descoberta e roubo de credenciais, seguidas pela implantação de vários beacons do Cobalt Strike".
Mas quando essa tentativa falhou, o adversário mudou para o uso do SILKLOADER para contornar a detecção e entregar a payload do beacon.
Isso não é tudo.
Outro loader conhecido como BAILLOADER, que também é usado para distribuir beacons do Cobalt Strike, foi vinculado a ataques envolvendo ransomware Quantum, GootLoader e o trojan IcedID nos últimos meses.
O BAILLOADER, por sua vez, é dito apresentar semelhanças com um criptografador codinome Tron que foi usado por diferentes adversários para distribuir Emotet, TrickBot, BazarLoader, IcedID, ransomware Conti e Cobalt Strike.
Isso deu origem à possibilidade de que atores de ameaças díspares estejam compartilhando beacons do Cobalt Strike, criptografadores e infraestrutura fornecida por afiliados de terceiros para atender a múltiplas intrusões que utilizam diferentes táticas.
Em outras palavras, é provável que o SILKLOADER seja oferecido como um loader pronto para uso por meio de um programa Packer-as-a-Service para atores de ameaças baseados na Rússia.
"Este loader está sendo fornecido diretamente a grupos de ransomware ou possivelmente via grupos que oferecem o Cobalt Strike / Infraestrutura como serviço a afiliados confiáveis", disse a WithSecure.
"A maioria desses afiliados parece ter feito parte ou ter tido relações de trabalho próximas com o grupo Conti, seus membros e descendentes depois de seu suposto desligamento".
As amostras do SILKLOADER analisadas pela empresa mostram que as primeiras versões do malware datam do início de 2022, com o loader exclusivamente utilizado em diferentes ataques visando vítimas na China e Hong Kong.
A mudança de alvos do leste asiático para outros países, como Brasil e França, acredita-se ter ocorrido por volta de julho de 2022, após o qual todos os incidentes relacionados ao SILKLOADER foram atribuídos a atores cibercriminosos russos.
Isso deu origem à hipótese de que "o SILKLOADER foi originalmente escrito por atores de ameaças atuando no ecossistema cibercriminoso chinês" e que "o loader foi usado pelos atores de ameaças dentro desse nexus pelo menos a partir de maio de 2022 até julho de 2022".
"O criador ou código-fonte foi posteriormente adquirido por um ator de ameaça dentro do ecossistema cibercriminoso russo entre julho de 2022 e setembro de 2022", disse a WithSecure, acrescentando que "o autor chinês original vendeu o loader a um ator de ameaça russo assim que não teve mais uso para ele".
Tanto o SILKLOADER quanto o BAILLOADER são apenas os exemplos mais recentes de atores de ameaças refinando e reformulando suas abordagens para se manterem à frente da curva de detecção.
"À medida que o ecossistema cibercriminoso se torna cada vez mais modularizado por meio de ofertas de serviços, não é mais possível atribuir ataques a grupos de ameaças simplesmente vinculando-os a componentes específicos dentro de seus ataques", concluíram os pesquisadores da WithSecure.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...