Falantes de chinês estão na mira de uma nova campanha que utiliza uma versão adulterada do SumatraPDF para distribuir o agente AdaptixC2 Beacon, usado após a invasão, e, por fim, viabilizar o abuso de túneis do Visual Studio Code para acesso remoto.
A campanha foi descoberta no mês passado pela Zscaler ThreatLabz e atribuída com alta confiança ao Tropic Trooper, também conhecido como APT23, Earth Centaur, KeyBoy e Pirate Panda.
O grupo é conhecido por atacar diferentes organizações em Taiwan, Hong Kong e nas Filipinas, e a avaliação é de que esteja ativo desde pelo menos 2011.
“Os agentes de ameaça criaram um listener personalizado do AdaptixC2 Beacon, usando o GitHub como plataforma de comando e controle”, afirmou o pesquisador de segurança Yin Hong Chang em uma análise.
Acredita-se que os alvos sejam pessoas que falam chinês em Taiwan, além de indivíduos na Coreia do Sul e no Japão.
O ponto de partida do ataque é um arquivo ZIP com iscas documentais de temática militar, usado para iniciar a versão maliciosa do SumatraPDF.
Em seguida, o programa exibe um documento PDF isca enquanto, em paralelo, recupera shellcode criptografado de um servidor intermediário para iniciar o AdaptixC2 Beacon.
Para isso, o executável adulterado do SumatraPDF aciona uma versão ligeiramente modificada de um loader codinome TOSHIS, variante de Xiangoop, um malware associado ao Tropic Trooper e já usado anteriormente para buscar cargas maliciosas da fase seguinte, como o Cobalt Strike Beacon ou o agente Merlin, do framework Mythic.
O loader é responsável por ativar o ataque em várias etapas, entregando tanto o documento isca, para distrair a vítima, quanto o agente AdaptixC2 Beacon em segundo plano.
O agente usa o GitHub para comando e controle e se comunica periodicamente com a infraestrutura controlada pelos atacantes para buscar tarefas a serem executadas no sistema comprometido.
O ataque só avança para a próxima fase quando a vítima é considerada valiosa.
Nesse caso, o agente de ameaça implanta o Visual Studio Code e configura túneis do próprio editor para acesso remoto.
Em algumas máquinas selecionadas, os atacantes também teriam instalado aplicativos alternativos e adulterados, provavelmente como tentativa de camuflar melhor suas ações.
Além disso, o servidor intermediário envolvido na intrusão, identificado como 158.247.193[.]100, foi flagrado hospedando um Cobalt Strike Beacon e um backdoor personalizado chamado EntryShell, ambos já utilizados pelo Tropic Trooper em campanhas anteriores.
“Assim como na campanha TAOTH, backdoors disponíveis publicamente são usados como cargas maliciosas”, informou a Zscaler.
“Embora o Cobalt Strike Beacon e o Mythic Merlin tenham sido usados anteriormente, o agente de ameaça agora migrou para o AdaptixC2.”
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...