Hackers invadem alvos militares no Mar do Sul da China
23 de Maio de 2024

Pesquisadores de cibersegurança divulgaram detalhes de um grupo ameaçador anteriormente não documentado chamado Unfading Sea Haze, que acredita-se estar ativo desde 2018.

A intrusão destacou organizações de alto nível em países do Mar do Sul da China, particularmente alvos militares e governamentais, conforme dito pela Bitdefender em um relatório.

"A investigação revelou uma tendência preocupante além do contexto histórico", disse Martin Zugec, diretor de soluções técnicas na Bitdefender, acrescentando que identificou um total de oito vítimas até o momento.

"Notavelmente, os atacantes recuperaram repetidamente o acesso aos sistemas comprometidos.

Esta exploração destaca uma vulnerabilidade crítica: higiene de credenciais insatisfatória e práticas inadequadas de patching em dispositivos expostos e serviços web."

Há alguns indícios de que o ator de ameaças por trás dos ataques esteja operando com objetivos alinhados aos interesses chineses, apesar do fato de que as assinaturas do ataque não se sobrepõem às de qualquer grupo de hacking conhecido.

Isso inclui a pegada de vitimologia, com países como as Filipinas e outras organizações no Pacífico Sul previamente visadas pelo ator ligado à China, Mustang Panda.

Também usado nos ataques estão várias iterações do malware Gh0st RAT, um trojan de mercadoria conhecido por ser utilizado por atores de ameaças sino-falantes.

"Uma técnica específica empregada pelo Unfading Sea Haze - executando código JScript por meio de uma ferramenta chamada SharpJSHandler - assemelhou-se a um recurso encontrado no backdoor 'FunnySwitch', que foi vinculado ao APT41", disse a Bitdefender.

Ambos envolvem carregar assemblies .NET e executar código JScript.

No entanto, esta foi uma semelhança isolada.

Atualmente é conhecido o caminho exato de acesso inicial utilizado para infiltrar-se nos alvos, embora, em uma reviravolta interessante, o Unfading Sea Haze tenha sido observado recuperando acesso às mesmas entidades através de e-mails de spear-phishing contendo arquivos arquivados com armadilhas.

Esses arquivos de arquivo vêm equipados com arquivos de atalho do Windows (LNK) que, quando lançados, desencadeiam o processo de infecção executando um comando projetado para recuperar o payload da próxima fase de um servidor remoto.

Esse payload é um backdoor chamado SerialPktdoor, projetado para executar scripts do PowerShell, enumerar diretórios, baixar/upload de arquivos e excluir arquivos.

Além disso, o comando aproveita o Microsoft Build Engine (MSBuild) para executar um arquivo localizado em um local remoto sem deixar rastros no host vítima e diminuir as chances de detecção.

As cadeias de ataque são caracterizadas pelo uso de tarefas agendadas como uma forma de estabelecer persistência, com os nomes das tarefas se passando por arquivos legítimos do Windows que são empregados para rodar um executável inofensivo suscetível ao carregamento lateral de DLL para carregar uma DLL maliciosa.

"Além de utilizar tarefas agendadas, o atacante empregou outra técnica de persistência: manipulando contas de Administrador locais", disse a firma romena de cibersegurança.

Isso envolveu tentativas de habilitar a conta de Administrador local desabilitada, seguida pela redefinição de sua senha. Pelo menos desde setembro de 2022, o Unfading Sea Haze é conhecido por incorporar ferramentas comerciais de Monitoramento Remoto e Gerenciamento (RMM), como ITarian RMM para ganhar um ponto de apoio nas redes das vítimas, uma tática não comumente observada entre atores de estados-nação, com exceção do grupo iraniano MuddyWater.

A sofisticação do adversário é evidenciada por uma grande variedade de ferramentas customizadas em seu arsenal, que compreende variantes do Gh0st RAT como SilentGh0st e seu sucessor evolutivo InsidiousGh0st (que vem em versões C++, C# e Go), TranslucentGh0st, FluffyGh0st e EtherealGh0st, os três últimos dos quais são modulares e adotam uma abordagem baseada em plugin.

Também é utilizado um loader conhecido como Ps2dllLoader que pode contornar a Antimalware Scan Interface (AMSI) e atua como um conduto para entregar o SharpJSHandler, que opera escutando solicitações HTTP e executa o código JavaScript codificado usando a biblioteca Microsoft.JScript.

A Bitdefender disse que descobriu mais duas variações do SharpJSHandler que são capazes de recuperar e executar um payload de serviços de armazenamento em nuvem como Dropbox e Microsoft OneDrive, e exportar os resultados de volta para o mesmo local.

Ps2dllLoader também contém outro backdoor codinomeado Stubbedoor, responsável por lançar uma assembleia .NET criptografada recebida de um servidor de comando e controle (C2).

Outros artefatos implantados ao longo dos ataques abrangem um keylogger chamado xkeylog, um ladrão de dados de navegador web, uma ferramenta para monitorar a presença de dispositivos portáteis e um programa customizado de exfiltração de dados chamado DustyExfilTool que foi utilizado entre março de 2018 e janeiro de 2022.

Entre o complexo arsenal de agentes e ferramentas maliciosas usadas pelo Unfading Sea Haze está um terceiro backdoor referido como SharpZulip que utiliza a API do serviço de mensagens Zulip para buscar comandos para execução de um fluxo chamado "NDFUIBNFWDNSA".

No Zulip, fluxos (agora chamados canais) são análogos a canais no Discord e Slack.

Há evidências que sugerem que a exfiltração de dados é realizada manualmente pelo ator de ameaça para capturar informações de interesse, incluindo dados de aplicativos de mensagens como Telegram e Viber, e empacotá-los na forma de um arquivo protegido por senha.

"Essa mistura de ferramentas customizadas e de prateleira, juntamente com a extração manual de dados, pinta um quadro de uma campanha de espionagem direcionada focada na aquisição de informações sensíveis de sistemas comprometidos", Zugec apontou.

Seu arsenal de malware customizado, incluindo a família Gh0st RAT e Ps2dllLoader, mostra um foco em técnicas de flexibilidade e evasão.

A mudança observada em direção à modularidade, elementos dinâmicos e execução em memória destaca seus esforços para burlar medidas de segurança tradicionais.

Publicidade

Aprenda hacking e pentest na prática com esse curso gratuito

Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...