Pesquisadores Descobrem Campanha de Ataque em Andamento do APT Grayling em Diversos Setores
10 de Outubro de 2023

Um ator de ameaças anteriormente não documentado de origem desconhecida tem sido associado a uma série de ataques direcionados a organizações nos setores de manufatura, TI e biomédico em Taiwan.

A Equipe de Caçadores de Ameaças da Symantec, parte da Broadcom, atribuiu os ataques a uma ameaça persistente avançada (APT) que rastreia sob o nome de Grayling.

As evidências mostram que a campanha começou em fevereiro de 2023 e continuou até pelo menos maio de 2023.

Também é provável que uma agência governamental localizada nas Ilhas do Pacífico, bem como entidades no Vietnã e nos EUA, tenham sido alvo da atividade.

"Essa atividade se destacou devido ao uso, por parte do Grayling, de uma técnica distinta de carregamento lateral de DLL que utiliza um decodificador personalizado para implantar cargas úteis", disse a empresa em um relatório compartilhado com o The Hacker News.

"A motivação por trás dessa atividade parece ser a coleta de informações."

O acesso inicial aos ambientes das vítimas é dito ter sido obtido explorando infraestrutura de frente para o público, seguido pela implantação de web shells para acesso persistente.

As cadeias de ataque então tiram proveito do carregamento lateral de DLL via SbieDll_Hook para carregar uma variedade de cargas úteis, incluindo Cobalt Strike, NetSpy, e o framework Havoc, juntamente com outras ferramentas como o Mimikatz.

Grayling também foi observado matando todos os processos listados em um arquivo chamado processlist.txt.

O carregamento lateral de DLL é uma técnica popular usada por uma variedade de atores de ameaças para contornar soluções de segurança e enganar o sistema operacional Windows a executar código malicioso no dispositivo alvo.

Isso é geralmente realizado colocando uma DLL maliciosa com o mesmo nome que uma DLL legítima usada por uma aplicação em um local onde ela será carregada antes da DLL real aproveitando-se do mecanismo de ordem de pesquisa de DLL.

"Os atacantes realizam várias ações uma vez que ganham acesso inicial aos computadores das vítimas, incluindo a escalada de privilégios, a varredura de rede e o uso de descarregadores", disse a Symantec.

O uso de carregamento lateral de DLL em relação ao SbieDll_Hook e SandboxieBITS.exe foi previamente observado no caso do Naikon APT em ataques direcionados a organizações militares no sudeste asiático.

Não há evidências para sugerir que o adversário tenha se envolvido em qualquer forma de exfiltração de dados até o momento, sugerindo que os motivos são mais voltados para reconhecimento e coleta de informações.

O uso de ferramentas publicamente disponíveis é visto como uma tentativa de complicar os esforços de atribuição, enquanto a terminação de processos indica a detecção da evasão como prioridade para permanecer sob o radar por períodos prolongados de tempo.

"O forte ataque às organizações taiwanesas indica que elas provavelmente operam a partir de uma região com um interesse estratégico em Taiwan", acrescentou a empresa.

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...