Hackers do ToddyCat usam malware 'descartável' para mirar em telecomunicações asiáticas
13 de Outubro de 2023

Uma nova campanha chamada "Stayin' Alive" tem como alvo organizações governamentais e provedores de serviço de telecomunicações em toda a Ásia desde 2021, utilizando uma ampla variedade de malwares "descartáveis" para evitar detecção.

A maioria dos alvos da campanha observados pela empresa de cibersegurança Check Point estão localizados no Cazaquistão, Uzbequistão, Paquistão e Vietnã, enquanto a campanha ainda está em andamento.

Os ataques parecem se originar do ator de espionagem chinês conhecido como 'ToddyCat', que se baseia em mensagens de spear-phishing carregando anexos maliciosos para carregar uma variedade de carregadores de malware e portas dos fundos.

Os pesquisadores explicam que os atores da ameaça usam muitos tipos diferentes de ferramentas personalizadas, que acreditam ser descartáveis para ajudar a evitar a detecção e prevenir a ligação dos ataques uns aos outros.

"O amplo conjunto de ferramentas descritas neste relatório são feitas sob medida e provavelmente facilmente descartáveis.

Como resultado, eles não mostram nenhuma sobreposição de código clara com qualquer conjunto de ferramentas conhecido, nem mesmo entre si", explica Check Point.

O ataque começa com um e-mail de spear-phishing criado para direcionar indivíduos específicos em organizações-chave, instigando-os a abrir o arquivo ZIP anexado.

O arquivo contém um executável digitalmente assinado batizado para combinar com o contexto do e-mail e um DLL malicioso que explora uma vulnerabilidade ( CVE-2022-23748 ) no software Dante Discovery da Audinate para carregar o malware "CurKeep" no sistema.

CurKeep é uma backdoor de 10kb que estabelece persistência no dispositivo violado, envia informações do sistema para o servidor de comando e controle (C2) e aguarda comandos.

O backdoor pode exfiltrar uma lista de diretórios dos Programas Files da vítima, indicando quais softwares estão instalados no computador, executar comandos e enviar a saída para o servidor C2 e lidar com tarefas baseadas em arquivos conforme instruído por seus operadores.

Além do CurKeep, a campanha utiliza outras ferramentas, principalmente carregadores, executados principalmente através de métodos semelhantes de carregamento de DLL.

Notáveis ​​incluem o carregador CurLu, CurCore e CurLog, cada um com funcionalidades e mecanismos de infecção únicos.

CurCore é o mais interessante dos payloads secundários, pois pode criar arquivos e preencher seus conteúdos com dados arbitrários, executar comandos remotos ou ler um arquivo e retornar seus dados em formato codificado em base64.

Outra backdoor notável que se destaca das demais é a 'StylerServ', que atua como um ouvinte passivo que monitora o tráfego em cinco portas (60810 a 60814) por um arquivo de configuração XOR encriptado específico ('stylers.bin').

O relatório não especifica a funcionalidade ou propósito exato de StylerServ ou stylers.bin, mas provavelmente faz parte de um mecanismo de serviço de configuração sigiloso para outros componentes de malware.

A Check Point informa que o "Stayin' Alive" usa várias amostras e variantes desses carregadores e payloads , geralmente adaptados para alvos regionais específicos (idioma, nomes de arquivos, temas).

A empresa de segurança diz que o cluster recém-identificado provavelmente é um segmento de uma campanha mais ampla envolvendo mais ferramentas não descobertas e métodos de ataque.

Julgando pela grande variedade de ferramentas distintas vistas nos ataques e seu grau de personalização, elas parecem ser descartáveis.

Apesar das diferenças de código nessas ferramentas, todas se conectam à mesma infraestrutura, que a Kaspersky anteriormente vinculou ao ToddyCat, um grupo de espiões cibernéticos chineses.

Atualização 10/12 - Pouco depois de publicar este relatório, a Kaspersky postou uma atualização em seu rastreamento do APT ToddyCat, destacando novos métodos de ataque e payloads que seus analistas descobriram recentemente.

No último ano, a Kaspersky observou um cluster paralelo de atividade do mesmo ator de ameaça, diferente do visto pela Check Point, com duas variantes de ataque empregando executáveis VLC legítimos para carregar malware usando a técnica sideloading DLL.

Um malware notável usado nesses ataques é o 'Ninja Agent', que possui gerenciamento de arquivos, shell reverso, gerenciamento de processos e muito mais.

Outras ferramentas que o ToddyCat usou nesses ataques incluem LoFiSe (rastreador e ladrão de arquivos), Cobalt Strike (conjunto de testes de penetração), DropBox Uploader e uma backdoor UDP passiva.

Publicidade

Cuidado com o deauth, a tropa do SYWP vai te pegar

A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo. Saiba mais...