Novo Relatório Revela 3 Distintos Agrupamentos de Ataques com Nexus na China ao Governo do Sudeste Asiático
25 de Setembro de 2023

Um governo do sudeste asiático, não identificado, foi alvo de vários atores de ameaças com nexos na China, como parte de campanhas de espionagem visando a região por longos períodos de tempo.

"Embora essa atividade tenha ocorrido ao mesmo tempo e, em alguns casos, até simultaneamente nas mesmas máquinas das vítimas, cada grupo se caracteriza por distintas ferramentas, modus operandi e infraestrutura", disseram os pesquisadores da Unidade 42 da Palo Alto Networks, Lior Rochberger, Tom Fakterman e Robert Falcone, em um extenso relatório de três partes.

Os ataques, que visaram diferentes entidades governamentais, como infraestrutura crítica, instituições de saúde pública, administradores financeiros públicos e ministérios, foram atribuídos com moderada confiança a três grupos distintos: Stately Taurus (também conhecido como Mustang Panda), Alloy Taurus (também conhecido como Granite Typhoon) e Gelsemium.

"Os invasores conduziram uma operação de ciberespionagem que focou em coletar inteligência, bem como roubar documentos e informações sensíveis, mantendo uma presença persistente e clandestina", disseram os pesquisadores, descrevendo-a como "altamente direcionada e baseada em inteligência."

A atividade durou desde o segundo trimestre de 2021 até o terceiro trimestre de 2023, aproveitando uma variedade de ferramentas para conduzir reconhecimento, roubar credenciais, manter acesso e realizar ações pós-comprometimento.

Algumas dos notáveis softwares usados para alcançar esses objetivos incluem o framework de varredura de código aberto LadonGo, AdFind, Mimikatz, Impacket, web shells China Chopper, Cobalt Strike, ShadowPad, e uma nova versão do backdoor TONESHELL.

O malware evita o uso de shellcode em favor de três componentes baseados em DLL para estabelecer persistência no endpoint, estabelecer comunicações de comando e controle com um servidor remoto e realizar operações de coleta de informações, incluindo execução de comandos, interação com o sistema de arquivos, keylogging e captura de tela.

"Durante a operação, o ator da ameaça lentamente tomou o controle dos ambientes das vítimas, focando em manter o controle para uma operação de longo prazo", observaram os pesquisadores. "O objetivo dos esforços do ator da ameaça parece ser a coleta contínua e exfiltração de documentos sensíveis e inteligência."

O conjunto de intrusões ligado ao Alloy Taurus teria começado no início de 2022 e continuado ao longo de 2023, explorando técnicas incomuns e contornando produtos de segurança para persistência de longo prazo e reconhecimento.

Estes ataques, ocorrendo em seis ondas diferentes, exploram falhas de segurança nos servidores Microsoft Exchange para implantar web shells, que servem então como um conduto para a entrega de payloads adicionais, incluindo dois backdoors .NET anteriormente desconhecidos Zapoa e ReShell para executar comandos arbitrários remotamente e colher dados sensíveis.

Zapoa também incorpora recursos para extrair informações do sistema, rodar shellcode, enumerar processos em execução, carregar mais arquivos de montagem .NET para aumentar suas capacidades e carimbar arquivos e artefatos com uma data fornecida, uma técnica chamada timestomping.

"O ator da ameaça por trás desse grupo empregou uma abordagem madura, utilizando intrusões multi-ondas e explorando vulnerabilidades nos servidores Exchange como seu principal vetor de penetração", disseram os pesquisadores.

Em alguns casos, Alloy Taurus também foi observado realizando roubo de credenciais para facilitar o movimento lateral, abusando da ferramenta de administração remota AnyDesk já presente no ambiente infiltrado.

Alguns dos outros softwares instalados pelo ator da ameaça incluem Cobalt Strike, Quasar RAT, HDoor (um backdoor utilizado anteriormente por grupos chineses como Naikon e Goblin Panda), uma variante de Gh0st RAT conhecida como Gh0stCringe, e Winnti, um implante multifuncional capaz de conceder controle remoto a uma máquina infectada.

"Este grupo único teve atividade ao longo de seis meses entre 2022-2023", observaram os pesquisadores.

"Ele apresentou uma combinação de ferramentas e técnicas raras que o ator da ameaça usou para obter uma presença clandestina e coletar inteligência de servidores IIS sensíveis pertencentes a uma entidade governamental do sudeste asiático."

As cadeias de ataque exploram servidores web vulneráveis para instalar web shells e distribuir backdoors como OwlProxy e SessionManager, ao mesmo tempo que utilizam outras ferramentas, como Cobalt Strike, Meterpreter, Earthworm e SpoolFool para pós-exploração, tráfego de comando e controle de túneis e escalada de privilégios.

OwlProxy é um proxy HTTP com funcionalidade de backdoor que foi revelado pela primeira vez em abril de 2020.

SessionManager, detalhado pela Kaspersky em julho passado, é um backdoor personalizado projetado para analisar o campo Cookies nas requisições HTTP de entrada para extrair os comandos emitidos pelo invasor.

"O ator da ameaça ganhou acesso através do uso de várias web shells, após a tentativa de instalação de vários tipos de malware e de um backdoor IIS", disse os pesquisadores.

"Como algumas das tentativas do ator da ameaça de instalar malware foram mal sucedidas, eles continuaram entregando novas ferramentas, mostrando sua capacidade de se adaptar ao processo de mitigação."

Publicidade

Já viu o Cyberpunk Guide?

Imagine voltar ao tempo dos e-zines e poder desfrutar de uma boa revista contendo as últimas novidades, mas na pegada hacking old school.
Acesse gratuitamente o Cyberpunk Guide e fique por dentro dos mais modernos dispositivos usados pelos hackers. Saiba mais...