Operação ChattyGoblin: Hackers visam empresas de jogos de azar por meio de aplicativos de chat
10 de Maio de 2023

Uma empresa de jogos de azar nas Filipinas foi alvo de um ator de ameaça alinhado à China como parte de uma campanha que está em andamento desde outubro de 2021.

A empresa de segurança cibernética eslovaca ESET está rastreando a série de ataques contra empresas de jogos de azar do sudeste asiático sob o nome de Operação ChattyGoblin.

"Esses ataques usam uma tática específica: visando os agentes de suporte das empresas vítimas por meio de aplicativos de bate-papo - em particular, os aplicativos Comm100 e LiveHelp100", disse a ESET em um relatório compartilhado com o The Hacker News.

O uso de um instalador trojanizado de Comm100 para entregar malware foi documentado pela primeira vez pela CrowdStrike em outubro de 2022.

A empresa atribuiu a comprometimento da cadeia de suprimentos a um ator de ameaça provavelmente com associações à China.

As cadeias de ataque alavancam os aplicativos de bate-papo mencionados anteriormente para distribuir um dropper C# que, por sua vez, implanta outro executável C#, que serve como conduíte para soltar um beacon Cobalt Strike em estações de trabalho invadidas.

Também destacados no Relatório de Atividade APT da ESET Q4 2022-Q1 2023 estão os ataques montados pelos atores de ameaça Donot Team e SideWinder, com ligações na Índia, contra instituições governamentais no sul da Ásia.

Outro conjunto de ataques limitados foi atribuído a outro grupo APT indiano chamado Confucius, que está ativo desde pelo menos 2013 e acredita-se que tenha laços com o grupo Patchwork.

O ator da ameaça usou no passado iscas temáticas de Pegasus e outros documentos de distração para atacar agências governamentais do Paquistão.

A última intrusão, segundo a ESET, envolveu o uso de um trojan de acesso remoto chamado Ragnatela, que é uma variante aprimorada do BADNEWS RAT.

Em outro lugar, a empresa de segurança cibernética disse que detectou o ator de ameaças iraniano referido como OilRig (também conhecido como Hazel Sandstorm) implantando um implante personalizado rotulado como Mango em uma empresa de saúde israelense.

Vale ressaltar que a Microsoft recentemente atribuiu o Storm-0133, um grupo de ameaças emergente afiliado ao Ministério de Inteligência e Segurança do Irã (MOIS), a ataques exclusivamente direcionados a agências governamentais locais israelenses e empresas que atendem ao setor de defesa, hospedagem e saúde.

A ESET também disse que um provedor de serviços de gerenciamento de dados indiano não identificado foi alvo de um ataque montado pelo grupo Lazarus, apoiado pela Coreia do Norte, em janeiro de 2023, usando uma isca de engenharia social com tema da Accenture.

"O objetivo dos atacantes era monetizar sua presença na rede da empresa, provavelmente por meio de comprometimento de e-mails comerciais", disse a empresa, chamando-o de mudança em seus padrões de vitimologia tradicionais.

O Grupo Lazarus, em fevereiro de 2023, também teria invadido um contratante de defesa na Polônia por meio de ofertas de emprego falsas para iniciar uma cadeia de ataque que arma uma versão modificada do SumatraPDF para implantar um RAT chamado ScoringMathTea e um sofisticado código baixado chamado ImprudentCook.

Encerrando a lista está uma atividade de spear-phishing de grupos APT alinhados à Rússia, como Gamaredon, Sandworm, Sednit, The Dukes e SaintBear, este último dos quais foi detectado usando uma versão atualizada de sua estrutura de malware Elephant e uma novidade em backdoor baseado em Go conhecido como ElephantLauncher.

Outra atividade APT notável detectada durante o período de tempo compreende Winter Vivern e YoroTrooper, que a ESET disse que se sobrepõe fortemente a um grupo que tem rastreado sob o nome de SturgeonPhisher desde o início de 2022.

As evidências reunidas até agora apontam para YoroTrooper sendo ativo desde pelo menos 2021, com ataques direcionados a governos, energia e organizações internacionais em toda a Ásia Central e Europa.

A divulgação pública de suas táticas em março de 2023 é suspeita de ter levado a uma "grande queda na atividade", levantando a possibilidade de que o grupo esteja atualmente reconfigurando seu arsenal e alterando seu modus operandi.

As descobertas da ESET seguem o próprio relatório de tendências APT da Kaspersky para o primeiro trimestre de 2023, que descobriu um ator de ameaça anteriormente desconhecido chamado Trila, que visa entidades governamentais libanesas usando "malware caseiro que permite que eles executem comandos do sistema Windows remotamente em máquinas infectadas".

A empresa de segurança cibernética russa também chamou a atenção para a descoberta de uma nova cepa de malware baseada em Lua referida como DreamLand, visando uma entidade governamental no Paquistão, marcando uma das raras instâncias em que um ator APT usou a linguagem de programação em ataques ativos.

"O malware é modular e utiliza a linguagem de script Lua em conjunto com seu compilador Just-in-Time (JIT) para executar código malicioso que é difícil de detectar", disseram os pesquisadores da Kaspersky.

"Também apresenta várias capacidades anti-de depuração e emprega APIs do Windows através do Lua FFI, que utiliza as ligações de linguagem C para realizar suas atividades".

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...