O ator de ameaças vinculado à China, conhecido como MirrorFace, foi atribuído a uma nova campanha de spear-phishing, visando principalmente indivíduos e organizações no Japão desde junho de 2024.
O objetivo da campanha é distribuir backdoors conhecidos como NOOPDOOR (também conhecido como HiddenFace) e ANEL (também conhecido como UPPERCUT), disse a Trend Micro em uma análise técnica.
"Um aspecto interessante desta campanha é o retorno de um backdoor chamado ANEL, que foi usado em campanhas visando o Japão pelo APT10 até cerca de 2018 e não havia sido observado desde então", disse o pesquisador de segurança Hara Hiroaki.
Vale ressaltar que o uso de ANEL pelo MirrorFace também foi documentado pela ESET no mês passado como parte de um ataque cibernético visando uma organização diplomática na União Europeia, usando iscas relacionadas à Exposição Mundial.
MirrorFace, também conhecido como Earth Kasha, é o nome dado a um ator de ameaças chinês conhecido por seu alvo persistente em entidades japonesas.
Ele é avaliado como um subgrupo dentro do APT10.
A campanha mais recente difere das intrusões do grupo de hackers observadas durante 2023, que procuravam explorar falhas de segurança em dispositivos de borda da Array Networks e da Fortinet para acesso inicial.
A mudança para mensagens de email de spear-phishing é intencional, segundo a Trend Micro, e uma decisão motivada pelo fato de que os ataques são projetados para visar indivíduos em vez de empresas.
"Além disso, uma análise dos perfis das vítimas e dos nomes dos arquivos-isca distribuídos sugere que os adversários estão particularmente interessados em tópicos relacionados à segurança nacional e às relações internacionais do Japão", apontou Hiroaki.
As mídias digitais, enviadas de contas de email gratuitas ou comprometidas, contêm um link para o Microsoft OneDrive.
Eles visam atraír os destinatários para baixar um arquivo ZIP armadilhado usando temas relacionados a solicitações de entrevista e segurança econômica do Japão sob a perspectiva das atuais relações EUA-China.
A Trend Micro disse que o conteúdo do arquivo ZIP varia dependendo dos alvos, acrescentando que descobriu três diferentes vetores de infecção que foram utilizados para entregar um dropper malicioso chamado ROAMINGMOUSE -
-Um documento Word habilitado para macro
-Um arquivo de atalho do Windows que executa um arquivo autoextraível (SFX), que depois carrega um documento de modelo habilitado para macro
-Um arquivo de atalho do Windows que executa o PowerShell responsável por soltar um arquivo de gabinete embutido, que depois carrega um documento de modelo habilitado para macro
O documento habilitado para macro, ROAMINGMOUSE, age como um dropper para componentes relacionados ao ANEL e, em última análise, lança o backdoor, ao mesmo tempo incorporando técnicas de evasão que o escondem de programas de segurança e tornam a detecção desafiadora.
Um dos módulos implantados via o dropper é o ANELLDR, um loader projetado para executar o ANEL na memória.
Ele é iniciado usando um método conhecido como DLL side-loading, após o qual descriptografa e executa o backdoor da fase final.
Um implante baseado em HTTP de 32 bits, ANEL foi ativamente desenvolvido entre 2017 e 2018 como uma maneira de capturar capturas de tela, fazer upload/download de arquivos, carregar executáveis e executar comandos via cmd.exe.
A campanha de 2024 emprega uma versão atualizada que introduz um novo comando para executar um programa especificado com privilégios elevados.
Além disso, as cadeias de ataque aproveitam o backdoor para coletar informações dos ambientes infectados e implantar seletivamente o NOOPDOOR contra alvos de interesse especial.
"Muitos dos alvos são indivíduos, como pesquisadores, que podem ter diferentes níveis de medidas de segurança em comparação com organizações empresariais, tornando esses ataques mais difíceis de detectar", disse Hiroaki.
"É essencial manter contramedidas básicas, como evitar abrir arquivos anexados a emails suspeitos."
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...