Apt41 Infiltre Redes na Itália, Espanha, Taiwan, Turquia e Reino Unido

Várias organizações que atuam nos setores de transporte marítimo e logística, mídia e entretenimento, tecnologia e automóveis na Itália, Espanha, Taiwan, Tailândia, Turquia e Reino Unido se tornaram alvo de uma “campanha contínua” pelo prolífico grupo de hackers chinês APT41.

De acordo com um novo relatório publicado pela Mandiant, uma empresa pertencente ao Google, o APT41 conseguiu infiltrar e manter acesso não autorizado prolongado às redes de inúmeras vítimas desde 2023, permitindo que eles extraiam dados sensíveis ao longo de um período estendido.

A empresa de inteligência de ameaças descreveu o coletivo adversário como único entre os atores chineses devido ao seu uso de malware não público normalmente reservado para operações de espionagem em atividades que parecem estar fora do escopo de missões patrocinadas pelo estado.

As cadeias de ataque envolvem o uso de conchas da web (ANTSWORD e BLUEBEAM), distribuidores personalizados (DUSTPAN e DUSTTRAP) e ferramentas disponíveis publicamente (SQLULDR2 e PINEGROVE) para obter persistência, entregar cargas adicionais e exfiltrar dados de interesse.

As conchas da web atuam como um canal para baixar o distribuidor DUSTPAN (também conhecido como StealthVector) responsável por carregar o Cobalt Strike Beacon para comunicação de comando-e-controle (C2), seguido pela implantação do distribuidor DUSTTRAP após movimentação lateral.

O DUSTTRAP, por sua vez, é configurado para descriptografar uma carga maliciosa e executá-la na memória, que, por sua vez, estabelece contato com um servidor controlado pelo atacante ou uma conta comprometida do Google Workspace na tentativa de esconder suas atividades maliciosas.

O Google afirmou que as contas do Workspace identificadas foram corrigidas para evitar acesso não autorizado. No entanto, não revelou quantas contas foram afetadas.

As intrusões também são caracterizadas pelo uso do SQLULDR2 para exportar dados de bancos de dados Oracle para um arquivo de texto local e do PINEGROVE para transmitir grandes volumes de dados sensíveis de redes comprometidas abusando do Microsoft OneDrive como vetor de exfiltração.

Vale ressaltar que as famílias de malware que a Mandiant rastreia como DUSTPAN e DUSTTRAP apresentam sobreposições com aquelas que foram codinomeadas DodgeBox e MoonWalk, respectivamente, pelo Zscaler ThreatLabz.

“O malware DUSTTRAP é uma estrutura de plugin em várias etapas com múltiplos componentes,” disseram pesquisadores da Mandiant, acrescentando que identificaram pelo menos 15 plugins capazes de executar comandos de shell, realizar operações no sistema de arquivos, enumerar e encerrar processos, capturar pressionamentos de teclas e capturas de tela, coletar informações do sistema e modificar o Registro do Windows.

Ele também é projetado para sondar hosts remotos, realizar consultas do sistema de nomes de domínio (DNS), listar sessões de desktop remoto, fazer upload de arquivos e realizar várias manipulações ao Active Directory da Microsoft.

“Ao longo da intrusão, o malware DUSTTRAP e seus componentes associados foram assinados com certificados de assinatura de código presumivelmente roubados,” disse a empresa. “Um dos certificados de assinatura de código parecia estar relacionado a uma empresa sul-coreana que atua no setor de jogos.”

Esta revelação ocorre no momento em que a empresa de cibersegurança israelense Sygnia revelou detalhes de uma campanha de ataque cibernético empreendida por um sofisticado grupo de ameaças de nexus chinês chamado GhostEmperor para entregar uma variante do rootkit Demodex.

O método exato usado para invadir os alvos não está claro no momento, embora o grupo tenha sido observado anteriormente explorando falhas conhecidas em aplicativos de Internet. O acesso inicial facilita a execução de um script de lote do Windows, que deixa um arquivo de arquivo Cabinet (CAB) para, eventualmente, lançar um módulo de implante central.

O implante é projetado para gerenciar as comunicações C2 e instalar o rootkit de kernel Demodex usando um projeto de código aberto chamado Cheat Engine para contornar o mecanismo de Execução de Assinatura de Driver do Windows (DSE).

“O GhostEmperor emprega um malware de várias etapas para alcançar a execução e a persistência furtivas e utiliza vários métodos para impedir o processo de análise,” disse o pesquisador de segurança Dor Nizar.

Se achou este artigo interessante, siga-nos no Twitter e LinkedIn para ler mais conteúdos exclusivos que postamos.