Uma importante empresa de telecomunicações localizada na Ásia supostamente foi invadida por hackers patrocinados pelo estado chinês, que passaram mais de quatro anos dentro de seus sistemas, de acordo com um novo relatório da firma de resposta a incidentes Sygnia.
A empresa de cibersegurança está monitorando a atividade sob o nome Weaver Ant, descrevendo o ator de ameaça como furtivo e altamente persistente.
O nome do provedor de telecomunicações não foi divulgado.
"Utilizando web shells e tunneling, os invasores mantiveram persistência e facilitaram o ciberespionagem," disse Sygnia.
"O grupo por trás desta intrusão [...] visava obter e manter acesso contínuo aos provedores de telecomunicações e facilitar o ciberespionagem coletando informações sensíveis." Oren Biderman, líder da equipe de resposta a incidentes e forense digital na Sygnia, disse que o Weaver Ant explorou uma má configuração em uma aplicação voltada para o público para obter um ponto de apoio inicial no ambiente alvo.
A cadeia de ataque teria utilizado esse acesso para soltar dois diferentes web shells, uma variante criptografada do China Chopper e uma ferramenta maliciosa até então não documentada chamada INMemory.
Vale ressaltar que o China Chopper já foi utilizado por múltiplos grupos de hackers chineses no passado.
INMemory, como o nome sugere, é projetado para decodificar uma string codificada em Base64 e executá-la inteiramente na memória sem escrevê-la no disco, deixando assim nenhum rastro forense.
"O web shell 'INMemory' executou o código C# contido dentro de um executável portátil (PE) chamado 'eval.dll', que finalmente executa o payload entregue via uma solicitação HTTP," disse Sygnia.
Os web shells foram encontrados atuando como um trampolim para entregar payloads da próxima etapa, sendo o mais notável uma ferramenta de túnel HTTP recursivo que é utilizada para facilitar o movimento lateral sobre SMB, uma tática previamente adotada por outros atores de ameaças como o Elephant Beetle.
Além disso, o tráfego criptografado passando pelo túnel do web shell serve como conduto para realizar uma série de ações pós-exploração, incluindo:
- Patch do Event Tracing for Windows (ETW) e Antimalware Scan Interface (AMSI) para escapar da detecção;
- Uso do System.Management.Automation.dll para executar comandos PowerShell sem iniciar o PowerShell.exe, e
- Execução de comandos de reconhecimento contra o ambiente Active Directory comprometido para identificar contas de alto privilégio e servidores críticos
Sygnia disse que o Weaver Ant exibe características tipicamente associadas a um grupo de ciberespionagem com nexos na China devido aos padrões de ataque e os objetivos "bem definidos" da campanha.
Esta ligação também é evidenciada pela presença do web shell China Chopper, o uso de uma rede Operational Relay Box (ORB) composta por roteadores Zyxel para proxy de tráfego e obscurecer sua infraestrutura, as horas de trabalho dos hackers, e a implantação de um backdoor baseado no Outlook anteriormente atribuído ao Panda Emissário.
"Durante este período, o Weaver Ant adaptou seus TTPs ao ambiente de rede em evolução, empregando métodos inovadores para recuperar acesso e sustentar sua posição," disse a empresa.
O modus operandi dos conjuntos de intrusão com nexos na China tipicamente envolve o compartilhamento de ferramentas, infraestrutura, e ocasionalmente mão de obra - como através de contratados compartilhados.
A divulgação ocorre dias depois que o Ministério da Segurança do Estado (MSS) da China acusou quatro indivíduos supostamente ligados ao exército de Taiwan de conduzir ataques cibernéticos contra o continente.
Taiwan refutou as alegações.
O MSS disse que os quatro indivíduos são membros do Comando de Força de Informação, Comunicações e Eletrônica de Taiwan (ICEFCOM), e que a entidade se envolve em ataques de phishing, e-mails de propaganda visando agências governamentais e militares, e campanhas de desinformação usando apelidos nas mídias sociais.
As intrusões também teriam envolvido o uso extensivo de ferramentas de código aberto como o web shell AntSword, IceScorpion, Metasploit e Quasar RAT.
"O 'Comando de Força de Informação, Comunicações e Eletrônica' especificamente contratou hackers e empresas de cibersegurança como suporte externo para executar as diretivas de guerra cibernética emitidas pelas autoridades do Partido Democrático Progressista (DPP)," ele disse.
Suas atividades incluem espionagem, sabotagem e propaganda.
Coincidindo com a declaração do MSS, as firmas de cibersegurança chinesas QiAnXin e Antiy detalharam ataques de spear-phishing orquestrados por um ator de ameaça taiwanês codinomeado APT-Q-20 (também conhecido como APT-C-01, GreenSpot, Poison Cloud Vine e White Dolphin) que levam à entrega de um trojan C++ e frameworks de comando e controle (C2) como o Cobalt Strike e o Sliver.
Outros métodos de acesso inicial incluem a exploração de vulnerabilidades de segurança N-day e senhas fracas em dispositivos da Internet das Coisas como roteadores, câmeras e firewalls, adicionou a QiAnXin, caracterizando as atividades do ator de ameaça como "não particularmente inteligentes."
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...