Hackers chineses usam novas variantes de malware Linux para espionagem
26 de Abril de 2023

Hackers estão implantando novas variantes de malware do Linux em ataques de ciberespionagem, como uma nova variante do PingPull e um backdoor previamente não documentado rastreado como 'Sword2033'.

PingPull é um RAT (Trojan de acesso remoto) primeiro documentado pela Unit 42 no verão passado em ataques de espionagem realizados pelo grupo patrocinado pelo estado chinês Gallium, também conhecido como Alloy Taurus.

Os ataques visaram organizações governamentais e financeiras na Austrália, Rússia, Bélgica, Malásia, Vietnã e Filipinas.

A Unit 42 continuou monitorando essas campanhas de espionagem e hoje relata que o ator de ameaças chinês usa novas variantes de malware contra alvos na África do Sul e no Nepal.

A variante do Linux do PingPull é um arquivo ELF que apenas 3 dos 62 fornecedores de antivírus atualmente sinalizam como malicioso.

A Unit 42 conseguiu determinar que é uma porta do malware Windows conhecido, notando semelhanças na estrutura de comunicação HTTP, parâmetros POST, chave AES e comandos recebidos do servidor C2 do ator de ameaças.

Os comandos que o C2 envia para o malware são indicados por um único caractere maiúsculo no parâmetro HTTP, e o payload retorna os resultados para o servidor por meio de uma solicitação codificada em base64.

A Unit 42 comenta que os manipuladores de comando usados no PingPull correspondem aos observados em outro malware chamado 'China Chopper', um shell da web visto em ataques pesados ​​contra servidores Microsoft Exchange.

A Unit 42 também encontrou um novo backdoor ELF que se comunicava com o mesmo servidor de comando e controle (C2) que o PingPull.

Esta é uma ferramenta mais simples com funções mais básicas, como carregar arquivos no sistema violado, exfiltrar arquivos e executar um comando com "; echo <número aleatório>\n" adicionado a ele.

O comando echo adiciona dados aleatórios no log de execução, possivelmente para tornar a análise mais desafiadora ou obfuscate sua atividade.

A Unit 42 descobriu uma segunda amostra de Sword2023 associada a um endereço de C2 diferente, que se fazia passar pelo exército sul-africano.

A mesma amostra foi vinculada a um endereço Soft Ether VPN, um produto que Gallium é conhecido por usar em suas operações.

A empresa de cibersegurança comenta que esta não é uma escolha aleatória, já que em fevereiro de 2023, a África do Sul participou de exercícios militares conjuntos com a Rússia e a China.

Em conclusão, Gallium continua a refinar seu arsenal e ampliar sua faixa de alvos usando as novas variantes do Linux do PingPull e o backdoor Sword2023 recém-descoberto.

As organizações devem adotar uma estratégia de segurança abrangente para combater efetivamente essa ameaça sofisticada, em vez de depender apenas de métodos de detecção estáticos.

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...