Os setores de telecomunicações e manufatura em países da Ásia Central e do Sul têm sido alvo de uma campanha contínua que distribui uma nova variante de um malware conhecido como PlugX (também chamado Korplug ou SOGU).
Pesquisadores da Cisco Talos, Joey Chen e Takahiro Takeda, destacaram em uma análise recente que essa nova variante compartilha características tanto com as backdoors RainyDay quanto Turian.
Entre os pontos em comum estão o uso indevido de aplicativos legítimos para DLL side-loading, o algoritmo XOR-RC4-RtlDecompressBuffer aplicado na criptografia e descriptografia dos payloads e as mesmas chaves de RC4.
Porém, a configuração dessa variante difere significativamente do formato tradicional do PlugX, adotando uma estrutura alinhada à utilizada pelo RainyDay, uma backdoor vinculada ao grupo de ameaça com ligações à China conhecido como Lotus Panda (também chamado de Naikon APT).
A Kaspersky acompanha esse grupo sob o nome FoundCore, atribuindo-o a um coletivo de fala chinesa denominado Cycldek.
O PlugX é um trojan modular de acesso remoto (RAT) amplamente utilizado por diversos grupos alinhados à China, sendo o Mustang Panda (também identificado como BASIN, Bronze President, Camaro Dragon, entre outros apelidos) o mais notório entre eles.
Já o Turian (ou Quarian, Whitebird) é uma backdoor associada exclusivamente a ataques direcionados ao Oriente Médio, atribuída a um outro grupo avançado de ameaças persistentes (APT) ligado à China, conhecido como BackdoorDiplomacy (ou CloudComputating, Faking Dragon).
Os padrões das vítimas, com ênfase em empresas de telecomunicações, junto com a implementação técnica dos malwares, indicam possíveis conexões entre os grupos Lotus Panda e BackdoorDiplomacy.
Isso sugere que eles podem ser um único grupo ou que estejam compartilhando ferramentas de um mesmo fornecedor.
Um incidente detectado envolveu o grupo Naikon atacando uma operadora de telecomunicações no Cazaquistão, país vizinho ao Uzbequistão — este último já identificado como alvo do BackdoorDiplomacy.
Além disso, ambos os grupos têm focado seus ataques em países da Ásia do Sul.
As cadeias de ataque exploram um executável legítimo vinculado ao Mobile Popup Application para realizar DLL side-loading de uma DLL maliciosa.
Essa DLL é utilizada para descriptografar e carregar em memória payloads do PlugX, RainyDay e Turian.
Nas ondas mais recentes da campanha, o PlugX tem sido a ferramenta predominante, utilizando a mesma estrutura de configuração do RainyDay e incorporando um plugin de keylogger.
Os pesquisadores da Talos ressaltam que, embora não haja uma confirmação definitiva sobre a ligação entre Naikon e BackdoorDiplomacy, as semelhanças, como os alvos escolhidos, os métodos de criptografia dos payloads e a reutilização de chaves, indicam uma conexão com nível médio de confiança ligada a um ator de fala chinesa.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...