O grupo APT (ameaça persistente avançada) alinhado à China, conhecido como 'Bronze Starlight', foi visto atacando a indústria de jogos de azar do sudeste asiático com malware assinado usando um certificado válido usado pelo provedor Ivacy VPN.
O principal benefício de usar um certificado válido é contornar medidas de segurança, evitar levantar suspeitas com alertas do sistema e misturar-se a softwares e tráfegos legítimos.
De acordo com a SentinelLabs, que analisou a campanha, o certificado pertence à PMG PTE LTD, uma fornecedora de Singapura do produto VPN 'Ivacy VPN'.
Os ataques cibernéticos observados em março de 2023 provavelmente são uma fase posterior da 'Operação ChattyGoblin' que a ESET identificou em um relatório Q4 2022 – Q1 2023.
Porém, a SentinelLabs afirma que é difícil de associar a clusters específicos devido ao amplo compartilhamento de ferramentas entre atores chineses de ameaças.
Os ataques começam com a queda de executáveis .NET (agentupdate_plugins.exe e AdventureQuest.exe) no sistema alvo, provavelmente via aplicativos de chat troianizados, que buscam arquivos ZIP protegidos por senha de baldes da Alibaba.
A amostra de malware AdventureQuest.exe foi encontrada pela primeira vez pelo pesquisador de segurança MalwareHunterteam em maio, quando notaram que o certificado de assinatura de código era o mesmo usado nos instaladores oficiais do Ivacy VPN.
Esses arquivos contêm versões de software vulneráveis, como Adobe Creative Cloud, Microsoft Edge e McAfee VirusScan, que são suscetíveis a sequestro de DLLs.
Os hackers do Bronze Starlight usam essas aplicações vulneráveis para instalar beacons do Cobalt Strike nos sistemas alvo.
As DLLs maliciosas (libcef.dll, msedge_elf.dll e LockDown.dll) são embaladas dentro dos arquivos junto com os executáveis do programa legítimo, e o Windows prioriza sua execução contra versões mais seguras da mesma DLL armazenada em C:\Windows\System32, permitindo assim a execução de código malicioso.
A SentinelLabs destaca que os executáveis .NET apresentam uma restrição de geocerca que impede que o malware seja executado nos Estados Unidos, Alemanha, França, Rússia, Índia, Canadá, ou Reino Unido.
Esses países estão fora do escopo alvo desta campanha e são excluídos para evitar detecção e análise.
No entanto, devido a um erro na implementação da geocerca, isso não funciona.
Um aspecto intrigante dos ataques observados é o uso de um certificado de assinatura de código que pertence à PMG PTE LTD, a empresa por trás da Ivacy VPN.
Na verdade, o mesmo certificado é usado para assinar o instalador oficial da Ivacy VPN, vinculado ao site do provedor VPN.
"É provável que em algum momento a chave de assinatura da PMG PTE LTD tenha sido roubada - uma técnica familiar dos conhecidos atores chineses de ameaças para permitir a assinatura de malware", hipotetiza a SentinelLabs.
"Os fornecedores de VPN são alvos críticos, pois permitem que os atores de ameaças potencialmente tenham acesso a dados e comunicações sensíveis dos usuários."
Se o certificado foi roubado, os pesquisadores de segurança estão preocupados sobre o que mais os atores de ameaças tiveram acesso no provedor VPN.
A PMG PTE LTD não respondeu a esta revelação com uma declaração pública, por isso as exatas formas como os hackers obtiveram acesso ao certificado ainda não são claras.
Enquanto isso, a DigiCert revogou e invalidou o certificado no início de junho de 2023 por violação das diretrizes "Baseline Requirements".
O BleepingComputer contatou a Ivacy sobre o abuso do seu certificado de assinatura de código, mas não obteve resposta.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...