Organizações japonesas estão sendo alvo de um ator de ameaça estatal chinês que utiliza famílias de malware como LODEINFO e NOOPDOOR para colher informações sensíveis de hosts comprometidos, permanecendo furtivamente sob o radar em alguns casos por um período que varia de dois a três anos.
A empresa israelense de cibersegurança Cybereason está monitorando a campanha sob o nome Cuckoo Spear, atribuindo-a como relacionada a um conjunto de intrusões conhecido como APT10, que também é conhecido como Bronze Riverside, ChessMaster, Cicada, Cloudhopper, MenuPass, MirrorFace, Purple Typhoon (anteriormente Potassium) e Stone Panda.
"Os atores por trás do NOOPDOOR não só utilizaram o LODEINFO durante a campanha, mas também aproveitaram o novo backdoor para exfiltrar dados de redes empresariais comprometidas," disse a empresa.
As descobertas vêm semanas depois de a JPCERT/CC alertar sobre ataques cibernéticos montados pelo ator de ameaça visando entidades japonesas usando as duas cepas de malware.
No início deste janeiro, a ITOCHU Cyber & Intelligence revelou que havia descoberto uma versão atualizada do backdoor LODEINFO incorporando técnicas anti-análise, destacando o uso de e-mails de spear-phishing para propagar o malware.
A Trend Micro, que originalmente cunhou o termo MenuPass para descrever o ator de ameaça, caracterizou o APT10 como um grupo guarda-chuva que compreende dois clusters que chama de Earth Tengshe e Earth Kasha.
A equipe de hacking é conhecida por estar operacional desde pelo menos 2006.
Enquanto Earth Tengshe está vinculado a campanhas distribuindo SigLoader e SodaMaster, Earth Kasha é atribuído ao uso exclusivo de LODEINFO e NOOPDOOR.
Ambos os subgrupos foram observados visando aplicações voltadas ao público com o objetivo de exfiltrar dados e informações na rede.
Earth Tengshe também é dito ser relacionado a outro cluster codinome Bronze Starlight (também conhecido como Emperor Dragonfly ou Storm-0401), que tem um histórico de operar famílias de ransomware de vida curta como LockFile, Atom Silo, Rook, Night Sky, Pandora e Cheerscrypt.
Por outro lado, Earth Kasha foi encontrado mudando seus métodos de acesso inicial explorando aplicações voltadas ao público desde abril de 2023, aproveitando falhas não corrigidas em instâncias de Array AG (
CVE-2023-28461
), Fortinet (
CVE-2023-27997
) e Proself (
CVE-2023-45727
) para distribuir LODEINFO e NOOPDOOR (também conhecido como HiddenFace).
O LODEINFO vem embalado com vários comandos para executar shellcode arbitrário, registrar teclas digitadas, tirar capturas de tela, terminar processos e exfiltrar arquivos de volta para um servidor controlado pelo ator.
NOOPDOOR, que compartilha semelhanças de código com outro backdoor do APT10 conhecido como ANEL Loader, apresenta funcionalidade para fazer upload e download de arquivos, executar shellcode e rodar mais programas.
"LODEINFO parece ser usado como um backdoor primário e NOOPDOOR atua como um backdoor secundário, mantendo persistência dentro da rede corporativa comprometida por mais de dois anos," disse a Cybereason.
Os atores de ameaças mantêm a persistência no ambiente abusando de tarefas agendadas.
Publicidade
Imagine voltar ao tempo dos e-zines e poder desfrutar de uma boa revista contendo as últimas novidades, mas na pegada hacking old school.
Acesse gratuitamente o Cyberpunk Guide e fique por dentro dos mais modernos dispositivos usados pelos hackers.
Saiba mais...