Uma campanha recente realizada pela Earth Preta indica que grupos de nações alinhados com a China estão se tornando cada vez mais proficientes em contornar soluções de segurança.
O ator de ameaça, ativo desde pelo menos 2012, é monitorado pela comunidade de cibersegurança mais ampla sob os nomes de Bronze President, HoneyMyte, Mustang Panda, RedDelta e Red Lich.
As cadeias de ataque montadas pelo grupo começam com um e-mail de spear-phishing para implantar uma ampla gama de ferramentas para acesso de backdoor, comando e controle (C2) e exfiltração de dados.
Essas mensagens vêm com arquivos de isca maliciosos distribuídos via links do Dropbox ou do Google Drive que utilizam carregamento lateral de DLL, arquivos de atalho LNK e extensões de arquivo falsas como vetores de chegada para obter uma posição e soltar backdoors como TONEINS, TONESHELL, PUBLOAD e MQsTTang (também conhecido como QMAGENT).
Cadeias de infecção semelhantes que utilizam links do Google Drive foram observadas entregando Cobalt Strike já em abril de 2021.
"A Earth Preta tende a esconder payloads maliciosos em arquivos falsos, disfarçando-os como legítimos - uma técnica que foi comprovada como eficaz para evitar detecção", disse a Trend Micro em uma nova análise publicada na quinta-feira.
Este método de ponto de entrada, que foi detectado pela primeira vez no final do ano passado, desde então recebeu um pequeno ajuste em que o link de download para o arquivo é incorporado em outro documento de isca e o arquivo é protegido por senha na tentativa de contornar as soluções de gateway de e-mail.
"Os arquivos podem então ser extraídos internamente por meio da senha fornecida no documento", disseram os pesquisadores.
"Ao usar essa técnica, o ator malicioso por trás do ataque pode contornar com sucesso os serviços de escaneamento".
O acesso inicial ao ambiente da vítima é seguido pelas fases de descoberta de conta e escalonamento de privilégios, com o Mustang Panda aproveitando ferramentas personalizadas como ABPASS e CCPASS para contornar o Controle de Conta de Usuário (UAC) no Windows 10.
Além disso, o ator de ameaça foi observado implantando malware como "USB Driver.exe" (HIUPAN ou MISTCLOAK) e "rzlog4cpp.dll" (ACNSHELL ou BLUEHAZE) para se instalar em discos removíveis e criar um shell reverso com o objetivo de se mover lateralmente pela rede.
Outras utilidades implantadas incluem CLEXEC, um backdoor capaz de executar comandos e limpar logs de eventos; COOLCLIENT e TROCLIENT, implantes projetados para gravar teclas digitadas, ler e excluir arquivos; e PlugX.
"Além de ferramentas legítimas conhecidas, os atores de ameaças também criaram ferramentas altamente personalizadas usadas para exfiltração", observaram os pesquisadores.
Isso inclui NUPAKAGE e ZPAKAGE, ambos equipados para coletar arquivos do Microsoft Office.
As descobertas mais uma vez destacam o aumento do ritmo operacional dos atores de espionagem cibernética chineses e seu investimento consistente no aprimoramento de suas armas cibernéticas para evitar detecção.
"A Earth Preta é um ator de ameaça capaz e organizado que está continuamente aprimorando suas TTPs, fortalecendo suas capacidades de desenvolvimento e construindo um arsenal versátil de ferramentas e malware", concluíram os pesquisadores.
Publicidade
O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...