Pesquisadores de segurança cibernética divulgaram detalhes de um grupo de ameaças previamente não documentado chamado Neblina Marinha Imperecível, que se acredita estar ativo desde 2018.
A intrusão visou organizações de alto nível em países do Mar do Sul da China, especialmente alvos militares e governamentais, afirmou a Bitdefender em um relatório compartilhado com o The Hacker News.
“A investigação revelou uma tendência preocupante além do contexto histórico,” disse Martin Zugec, diretor de soluções técnicas da Bitdefender, acrescentando que identificou um total de oito vítimas até o momento.
“Digno de nota, os atacantes recuperaram repetidamente o acesso aos sistemas comprometidos. Essa exploração destaca uma vulnerabilidade crítica: higiene de credenciais fraca e práticas inadequadas de correção em dispositivos e serviços web expostos.”
Há indicações de que o ator de ameaças por trás dos ataques está operando com objetivos alinhados com os interesses chineses, apesar de as assinaturas de ataque não se sobreporem a nenhuma equipe de hackers conhecida.
Isso inclui o perfil de vítimas, com países como as Filipinas e outras organizações no Pacífico Sul anteriormente alvos do ator chinês Mustang Panda.
Também são usadas nas ataques várias iterações do malware Gh0st RAT, um trojan de commodities conhecido por ser usado por atores de ameaças de língua chinesa.
“Uma técnica específica empregada pelo Neblina Marinha Imperecível – executar código JScript através de uma ferramenta chamada SharpJSHandler – se assemelha a uma característica encontrada no backdoor ‘FunnySwitch’, que foi vinculado ao APT41,” disse a Bitdefender. “Ambos envolvem carregar assemblies .NET e executar código JScript. No entanto, essa foi uma semelhança isolada.”
O exato caminho de acesso inicial usado para infiltrar os alvos não é atualmente conhecido, embora, em uma reviravolta interessante, o Neblina Marinha Imperecível tenha sido observado recuperando o acesso às mesmas entidades através de e-mails de spear-phishing contendo arquivos armadilhados.
Esses arquivos de arquivo vêm com arquivos de atalho do Windows (LNK) que, quando abertos, iniciam o processo de infecção executando um comando projetado para recuperar a próxima carga útil de estágio do servidor remoto. Essa carga útil é um backdoor chamado SerialPktdoor, projetado para executar scripts PowerShell, enumerar diretórios, baixar/enviar arquivos e excluir arquivos.
Além disso, o comando utiliza o Microsoft Build Engine para executar sem arquivo um arquivo localizado em um local remoto, deixando assim nenhuma rastreabilidade no sistema da vítima e diminuindo as chances de detecção.
As cadeias de ataque são caracterizadas pelo uso de tarefas agendadas como uma forma de estabelecer persistência, com os nomes das tarefas se passando por arquivos legítimos do Windows que são usados para executar um executável inofensivo suscetível a side-loading de DLL para carregar uma DLL maliciosa.
“Além de usar tarefas agendadas, o atacante empregou outra técnica de persistência: manipular contas de Administrador local,” afirmou a empresa de cibersegurança romena. “Isso envolvia tentativas de habilitar a conta de Administrador local desativada, seguida por redefinição de sua senha.”
Pelo menos desde setembro de 2022, sabe-se que o Neblina Marinha Imperecível incorpora ferramentas comerciais de Monitoramento e Gerenciamento Remoto (RMM) disponíveis no mercado, como o ITarian RMM, para ganhar uma posição nas redes das vítimas, uma tática não comum entre atores nacionais, exceto o grupo iraniano MuddyWater.
A sofisticação do adversário é evidenciada por uma variedade de ferramentas personalizadas em seu arsenal, que inclui variantes do Gh0st RAT, como SilentGh0st e seu sucessor evolutivo InsidiousGh0st (que vem em versões C++, C# e Go), TranslucentGh0st, FluffyGh0st e EtherealGh0st, sendo os três últimos modulares e adotando uma abordagem baseada em plugins.
Também é utilizado um carregador chamado Ps2dllLoader que pode burlar a Interface de Verificação Anti-Malware (AMSI) e age como um canal para entregar o SharpJSHandler, que opera ouvindo solicitações HTTP e executa o código JavaScript codificado usando a biblioteca Microsoft.JScript.
A Bitdefender afirmou ter descoberto mais duas variantes do SharpJSHandler capazes de recuperar e executar uma carga de um serviço de armazenamento em nuvem como Dropbox e Microsoft OneDrive, exportando os resultados de volta para o mesmo local.
O Ps2dllLoader também contém outro backdoor chamado Stubbedoor que é responsável por lançar um assembly .NET criptografado recebido de um servidor de comando e controle (C2).
Outros artefatos implantados ao longo dos ataques incluem um keylogger chamado xkeylog, um ladrão de dados de navegador da web, uma ferramenta para monitorar a presença de dispositivos portáteis e um programa de exfiltração de dados personalizado chamado DustyExfilTool, utilizado entre março de 2018 e janeiro de 2022.
Presente entre o complexo arsenal de agentes e ferramentas maliciosas usadas pelo Neblina Marinha Imperecível está um terceiro backdoor chamado SharpZulip que utiliza a API do serviço de mensagens Zulip para buscar comandos para execução de um fluxo chamado “NDFUIBNFWDNSA”. No Zulip, os fluxos (agora chamados de canais) são análogos aos canais no Discord e Slack.
Há evidências que sugerem que a exfiltração de dados é realizada manualmente pelo ator de ameaças para capturar informações de interesse, incluindo dados de aplicativos de mensagens como Telegram e Viber, e empacotá-los na forma de um arquivo protegido por senha.
“Essa combinação de ferramentas personalizadas e prontas para uso, juntamente com a extração manual de dados, desenha um quadro de uma campanha de espionagem direcionada focada em adquirir informações sensíveis de sistemas comprometidos,” observou Zugec.
“Seu arsenal de malware personalizado, incluindo a família Gh0st RAT e Ps2dllLoader, mostra um foco em flexibilidade e técnicas de evasão. A observada mudança para modularidade, elementos dinâmicos e execução em memória destaca seus esforços para contornar medidas de segurança tradicionais.”
