Os setores governamentais, de aviação, educação e telecomunicações localizados no sul e sudeste da Ásia entraram no radar de um novo grupo de hackers como parte de uma campanha altamente direcionada que começou no meio de 2022 e continuou até o primeiro trimestre de 2023.
A Symantec, da Broadcom Software, está rastreando a atividade sob o nome temático de inseto Lancefly, com os ataques fazendo uso de um backdoor "poderoso" chamado Merdoor.
As evidências reunidas até agora indicam que o implante personalizado está sendo utilizado desde 2018.
O objetivo final da campanha, com base nas ferramentas e no padrão de vítimas, é o de coleta de inteligência.
"O backdoor é usado de forma muito seletiva, aparecendo em apenas algumas redes e em um pequeno número de máquinas ao longo dos anos, com seu uso parecendo ser altamente direcionado", disse a Symantec em uma análise compartilhada com o The Hacker News.
"Os atacantes nesta campanha também têm acesso a uma versão atualizada do rootkit ZXShell".
Embora o vetor inicial exato de invasão usado atualmente não esteja claro, suspeita-se que envolveu o uso de iscas de phishing, forçamento bruto SSH ou a exploração de servidores expostos à Internet.
As cadeias de ataque levam finalmente à implantação de ZXShell e Merdoor, um malware completo que pode se comunicar com um servidor controlado pelo ator para comandos adicionais e registro de teclas.
ZXShell, documentado pela primeira vez pela Cisco em outubro de 2014, é um rootkit que vem com vários recursos para coletar dados confidenciais de hosts infectados.
O uso de ZXShell tem sido relacionado a vários atores chineses como APT17 (Panda Aurora) e APT27 (também conhecido como Budworm ou Emissary Panda) no passado.
"A fonte do código deste rootkit está disponível publicamente, então pode ser usado por vários grupos diferentes", disse a Symantec.
"A nova versão do rootkit usada pelo Lancefly parece ser menor em tamanho, enquanto também tem funções adicionais e segmenta software antivírus adicional para desativar".
Outra conexão chinesa vem do fato de que o rootkit ZXShell é assinado pelo certificado "Wemade Entertainment Co. Ltd", que foi relatado anteriormente pela Mandiant em agosto de 2029 como sendo associado ao APT41 (também conhecido como Winnti).
As intrusões do Lancefly também foram identificadas como empregando o PlugX e seu sucessor ShadowPad, este último sendo uma plataforma de malware modular compartilhada privadamente por vários atores patrocinados pelo estado chinês desde 2015.
Dito isso, também é sabido que o compartilhamento de certificados e ferramentas é prevalente entre os grupos patrocinados pelo estado chinês, tornando a atribuição a uma equipe de ataque conhecida específica difícil.
"Embora o backdoor Merdoor pareça ter existido por vários anos, parece ter sido usado apenas em um pequeno número de ataques nesse período de tempo", observou a Symantec.
"Essa utilização prudente da ferramenta pode indicar um desejo do Lancefly de manter suas atividades sob o radar".
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...