Pesquisadores descobrem estratégias enganosas de hackers do Estado nacional chinês
27 de Março de 2023

Uma campanha recente realizada pela Earth Preta indica que grupos de nações alinhados com a China estão se tornando cada vez mais proficientes em contornar soluções de segurança.

O ator de ameaça, ativo desde pelo menos 2012, é monitorado pela comunidade de cibersegurança mais ampla sob os nomes de Bronze President, HoneyMyte, Mustang Panda, RedDelta e Red Lich.

As cadeias de ataque montadas pelo grupo começam com um e-mail de spear-phishing para implantar uma ampla gama de ferramentas para acesso de backdoor, comando e controle (C2) e exfiltração de dados.

Essas mensagens vêm com arquivos de isca maliciosos distribuídos via links do Dropbox ou do Google Drive que utilizam carregamento lateral de DLL, arquivos de atalho LNK e extensões de arquivo falsas como vetores de chegada para obter uma posição e soltar backdoors como TONEINS, TONESHELL, PUBLOAD e MQsTTang (também conhecido como QMAGENT).

Cadeias de infecção semelhantes que utilizam links do Google Drive foram observadas entregando Cobalt Strike já em abril de 2021.

"A Earth Preta tende a esconder payloads maliciosos em arquivos falsos, disfarçando-os como legítimos - uma técnica que foi comprovada como eficaz para evitar detecção", disse a Trend Micro em uma nova análise publicada na quinta-feira.

Este método de ponto de entrada, que foi detectado pela primeira vez no final do ano passado, desde então recebeu um pequeno ajuste em que o link de download para o arquivo é incorporado em outro documento de isca e o arquivo é protegido por senha na tentativa de contornar as soluções de gateway de e-mail.

"Os arquivos podem então ser extraídos internamente por meio da senha fornecida no documento", disseram os pesquisadores.

"Ao usar essa técnica, o ator malicioso por trás do ataque pode contornar com sucesso os serviços de escaneamento".

O acesso inicial ao ambiente da vítima é seguido pelas fases de descoberta de conta e escalonamento de privilégios, com o Mustang Panda aproveitando ferramentas personalizadas como ABPASS e CCPASS para contornar o Controle de Conta de Usuário (UAC) no Windows 10.

Além disso, o ator de ameaça foi observado implantando malware como "USB Driver.exe" (HIUPAN ou MISTCLOAK) e "rzlog4cpp.dll" (ACNSHELL ou BLUEHAZE) para se instalar em discos removíveis e criar um shell reverso com o objetivo de se mover lateralmente pela rede.

Outras utilidades implantadas incluem CLEXEC, um backdoor capaz de executar comandos e limpar logs de eventos; COOLCLIENT e TROCLIENT, implantes projetados para gravar teclas digitadas, ler e excluir arquivos; e PlugX.

"Além de ferramentas legítimas conhecidas, os atores de ameaças também criaram ferramentas altamente personalizadas usadas para exfiltração", observaram os pesquisadores.

Isso inclui NUPAKAGE e ZPAKAGE, ambos equipados para coletar arquivos do Microsoft Office.

As descobertas mais uma vez destacam o aumento do ritmo operacional dos atores de espionagem cibernética chineses e seu investimento consistente no aprimoramento de suas armas cibernéticas para evitar detecção.

"A Earth Preta é um ator de ameaça capaz e organizado que está continuamente aprimorando suas TTPs, fortalecendo suas capacidades de desenvolvimento e construindo um arsenal versátil de ferramentas e malware", concluíram os pesquisadores.

Publicidade

Hardware Hacking

Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...