Um ator de ameaças chamado Redfly tem sido associado a um comprometimento de uma rede nacional localizada em um país asiático não divulgado por até seis meses no início deste ano usando um malware conhecido como ShadowPad.
"Os invasores conseguiram roubar credenciais e comprometer vários computadores na rede da organização", disse a Equipe de Caça de Ameaças da Symantec, parte da Broadcom, em um relatório compartilhado com o The Hacker News.
"O ataque é o mais recente de uma série de intrusões de espionagem contra alvos de [infraestrutura nacional crítica]."
ShadowPad, também conhecido como PoisonPlug, é um sucessor do trojan de acesso remoto PlugX e é um implante modular capaz de carregar plugins adicionais dinamicamente de um servidor remoto conforme necessário para colher dados sensíveis de redes violadas.
Tem sido amplamente utilizado por uma crescente lista de grupos de estados-nações com nexos chineses desde pelo menos 2019 em ataques direcionados a organizações em vários setores da indústria.
"Shadowpad é decifrado na memória usando um algoritmo de decodificação personalizado", observou a Unidade de Combate à Ameaça da Secureworks (CTU), em fevereiro de 2022.
"O ShadowPad extrai informações sobre o host, executa comandos, interage com o sistema de arquivos e registro e implanta novos módulos para estender a funcionalidade".
O primeiro sinal de um ataque visando a entidade asiática teria sido registrado em 23 de fevereiro de 2023, quando o ShadowPad foi executado em um único computador, seguido pela execução do backdoor três meses depois, em 17 de maio.
Também implantada ao mesmo tempo foi uma ferramenta chamada Packerloader usada para executar shellcode arbitrário, usada para modificar permissões para um arquivo de driver conhecido como dump_diskfs.sys para conceder acesso a todos os usuários, aumentando a possibilidade de que o driver possa ter sido usado para criar dumps do sistema de arquivos para posterior exfiltração.
Os atores de ameaças também foram observados executando comandos de PowerShell para coletar informações sobre os dispositivos de armazenamento conectados ao sistema, despejar credenciais do Registro do Windows, enquanto simultaneamente limpam registros de eventos de segurança da máquina.
"No dia 29 de maio, os invasores voltaram e usaram uma versão renomeada do ProcDump (nome do arquivo: alg.exe) para despejar credenciais do LSASS", disse a Symantec.
"No dia 31 de maio, uma tarefa agendada é usada para executar o oleview.exe, provavelmente para realizar side-loading e movimento lateral".
Suspeita-se que o Redfly tenha usado credenciais roubadas para propagar a infecção para outras máquinas dentro da rede.
Após quase dois meses de hiato, o adversário reapareceu na cena para instalar um keylogger em 27 de julho e extrair novamente as credenciais do LSASS e do Registro em 3 de agosto.
A Symantec disse que a campanha compartilha infraestrutura e superposições de ferramentas com atividades previamente identificadas atribuídas ao grupo patrocinado pelo estado chinês referido como APT41 (também conhecido como Winnti), com o Redfly focando quase exclusivamente em atingir entidades de infraestrutura crítica.
No entanto, não há evidências de que o grupo de hackers tenha lançado qualquer ataque disruptivo até o momento.
"Atores de ameaças que mantêm uma presença persistente e de longo prazo em uma rede nacional apresentam um claro risco de ataques destinados a interromper o fornecimento de energia e outros serviços vitais em outros estados durante períodos de tensão política aumentada", disse a empresa.
O desenvolvimento vem à medida que a Microsoft revelou que os atores afiliados à China estão se concentrando em mídia visual gerada por IA para uso em operações de influência visando os EUA, bem como "realizando coleta de inteligência e execução de malware contra governos regionais e indústrias" na região do Mar do Sul da China desde o início do ano.
"Raspberry Typhoon mira consistentemente ministérios do governo, entidades militares e entidades corporativas ligadas à infraestrutura crítica, particularmente telecomunicações", disse a gigante da tecnologia.
"Desde janeiro de 2023, Raspberry Typhoon vem sendo particularmente persistente."
Outros alvos incluem a base industrial de defesa dos EUA (Circle Typhoon, Volt Typhoon e Mulberry Typhoon), infraestrutura crítica dos EUA, entidades governamentais na Europa e nos EUA (Storm-0558), e Taiwan (Flax Typhoon e Charcoal Typhoon).
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...