Hackers chineses infiltrados
18 de Junho de 2024

Um ator de espionagem cibernética suspeito de ter nexos com a China foi identificado como o responsável por um ataque prolongado a uma organização não nomeada localizada no Leste Asiático por um período de cerca de três anos, com o adversário estabelecendo persistência usando aparelhos F5 BIG-IP legados e utilizando-os como um comando e controle (C&C) interno para fins de evasão de defesa.

A empresa de cibersegurança Sygnia, que respondeu à intrusão no final de 2023, está rastreando a atividade sob o nome Velvet Ant, caracterizando-a como possuidora de capacidades robustas para mudar e adaptar suas táticas rapidamente para contrapor contínuos esforços de erradicação.

"Velvet Ant é um agente de ameaça sofisticado e inovador", disse a empresa israelense em um relatório técnico.

Eles coletaram informações sensíveis durante um longo período de tempo, focando em informações de clientes e financeiras.

As cadeias de ataque envolvem o uso de um backdoor conhecido chamado PlugX (também conhecido como Korplug), um trojan de acesso remoto (RAT) modular que tem sido amplamente utilizado por operadores de espionagem com vínculos com interesses chineses.

O PlugX é conhecido por depender fortemente de uma técnica chamada DLL side-loading para infiltrar dispositivos.

A Sygnia disse também ter identificado tentativas por parte do agente de ameaça de desativar softwares de segurança de endpoint antes de instalar o PlugX, com ferramentas de código aberto como Impacket usadas para movimentação lateral.

Também foi identificada, como parte dos esforços de resposta a incidentes e remediação, uma variante reprocessada do PlugX que utilizava um servidor de arquivos interno para C&C, permitindo assim que o tráfego malicioso se misturasse com a atividade de rede legítima.

"Isso significou que o agente de ameaça implantou duas versões do PlugX dentro da rede", observou a empresa.

A primeira versão, configurada com um servidor C&C externo, foi instalada em endpoints com acesso direto à internet, facilitando a exfiltração de informações sensíveis.

A segunda versão não possuía uma configuração de C&C e foi implantada exclusivamente em servidores legados.

Em particular, a segunda variante foi encontrada explorando dispositivos F5 BIG-IP desatualizados como um canal oculto para comunicar-se com o servidor C&C externo, emitindo comandos por meio de um túnel SSH reverso, destacando novamente como a comprometimento de dispositivos de borda pode permitir que agentes de ameaça ganhem persistência por períodos prolongados.

"Há apenas uma coisa necessária para que um incidente de exploração em massa ocorra, e isso é um serviço de borda vulnerável, ou seja, um software que é acessível da internet", disse a WithSecure em uma análise recente.

Dispositivos como esses geralmente são destinados a tornar uma rede mais segura, no entanto, vulnerabilidades foram descobertas e exploradas por atacantes, fornecendo um ponto de apoio perfeito em uma rede-alvo.

Análises forenses subsequentes dos dispositivos F5 hackeados também revelaram a presença de uma ferramenta chamada PMCD que consulta o servidor C&C do agente de ameaça a cada 60 minutos para procurar comandos para executar, bem como programas adicionais para captura de pacotes de rede e uma utilidade de tunelamento SOCKS chamada EarthWorm que foi usada por agentes de ameaça chineses como Gelsemium e Lucky Mouse.

A Sygnia disse ao The Hacker News que não possui visibilidade sobre o vetor de acesso inicial exato usado para violar o ambiente alvo, uma vez que a atividade correlacionada com o agente de ameaça foi observada pela primeira vez em 2021.

"O PlugX foi entregue via C&C: o agente de ameaça conectou-se ao dispositivo F5 BIG IP via túnel SSH reverso," disse a empresa.

A partir daí, eles se conectaram a um servidor C&C interno e, a partir dele, usaram a ferramenta de código aberto Impacket para executar o PlugX em sistemas remotos que queriam comprometer.

O desenvolvimento segue o surgimento de novos clusters ligados à China rastreados como Unfading Sea Haze, Operation Diplomatic Specter e Operation Crimson Palace, que foram observados visando a Ásia com o objetivo de coletar informações sensíveis.

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...