Novas Fronteiras, Antigas Táticas: Grupo de Espionagem Chinês Alveja Governos da África e do Caribe – Virus Killer – Recuperação de Site Invadido por Vírus e Malware

O grupo de ameaças relacionado à China conhecido como Sharp Panda expandiu seu alvo para incluir organizações governamentais na África e no Caribe como parte de uma campanha contínua de espionagem cibernética.

“A campanha adota o Beacon Cobalt Strike como carga útil, permitindo funcionalidades de backdoor como comunicação C2 e execução de comandos, minimizando a exposição de suas ferramentas personalizadas”, disse a Check Point em um relatório compartilhado com o The Hacker News. “Essa abordagem refinada sugere um entendimento mais profundo de seus alvos.”

A empresa israelense de cibersegurança está rastreando a atividade sob um novo nome, Sharp Dragon, descrevendo o adversário como cuidadoso em seu direcionamento, ao mesmo tempo em que amplia seus esforços de reconhecimento.

O adversário veio à tona em junho de 2021, quando foi detectado atacando um governo do Sudeste Asiático para implantar um backdoor em sistemas Windows chamado VictoryDLL.

Ataques subsequentes montados pelo Sharp Dragon têm mirado em entidades governamentais de alto nível no Sudeste Asiático para entregar o framework de malware modular Soul, que é então usado para receber componentes adicionais de um servidor controlado pelo ator para facilitar a coleta de informações.

Evidências sugerem que o backdoor Soul está em desenvolvimento desde outubro de 2017, adotando recursos do Gh0st RAT – malware comumente associado a uma variedade de atores de ameaças chineses – e outras ferramentas disponíveis publicamente.

Outro conjunto de ataques atribuídos aos atores ameaçadores tem mirado funcionários governamentais de alto escalão de nações do G20, indicando um foco contínuo em corpos governamentais para coleta de informações.

A chave para as operações da Sharp Panda é a exploração de falhas de segurança de 1 dia (por exemplo, CVE-2023-0669) para infiltrar a infraestrutura para uso posterior como servidores de comando e controle (C2). Outro aspecto notável é o uso do framework legítimo de simulação de adversário Cobalt Strike em vez de backdoors personalizados.

Além disso, o último conjunto de ataques destinado a governos na África e no Caribe demonstra uma expansão de seus objetivos originais de ataque, envolvendo o uso de contas de e-mail de alto perfil comprometidas no Sudeste Asiático para enviar e-mails de phishing para infectar novos alvos nas duas regiões.

Essas mensagens contêm anexos maliciosos que utilizam o formatador de texto rico Royal Road Rich Text Format (RTF) para baixar um downloader chamado 5.t, responsável por realizar reconhecimento e lançar o Cobalt Strike, permitindo que os atacantes coletem informações sobre o ambiente de destino.

O uso do Cobalt Strike como backdoor não apenas minimiza a exposição de ferramentas personalizadas, mas também sugere uma “abordagem refinada para avaliação de alvos”, acrescentou a Check Point.

Em um sinal de que o ator de ameaça está continuamente refinando suas táticas, sequências de ataques recentes foram observadas usando executáveis disfarçados de documentos para iniciar a infecção, em vez de depender de um documento do Word que utiliza um modelo remoto para baixar um arquivo RTF armado com Royal Road.

“A expansão estratégica do Sharp Dragon para a África e o Caribe sinaliza um esforço mais amplo dos atores cibernéticos chineses para aumentar sua presença e influência nessas regiões.”

As descobertas ocorrem no mesmo dia em que a Palo Alto Networks descobriu detalhes de uma campanha codinome Operation Diplomatic Specter que tem como alvo missões diplomáticas e governos no Oriente Médio, África e Ásia desde pelo menos o final de 2022. Os ataques foram vinculados a um ator de ameaça chinês chamado TGR-STA-0043 (anteriormente CL-STA-0043).

A mudança nas atividades do Sharp Dragon em direção à África faz parte dos esforços mais amplos feitos pela China para estender sua influência por todo o continente.

“Esses ataques se alinham de forma conspicuamente com a agenda mais ampla de poder suave e tecnológico da China na região, concentrando-se em áreas críticas como o setor de telecomunicações, instituições financeiras e órgãos governamentais”, observou o pesquisador de segurança da SentinelOne, Tom Hegel, em setembro de 2023.

O desenvolvimento também segue um relatório da Mandiant, de propriedade do Google, que destacou o uso pela China de redes de proxy conhecidas como redes de caixa de retransmissão operacional (ORBs) para obscurecer suas origens ao realizar operações de espionagem e obter maiores taxas de sucesso na obtenção e manutenção de acesso a redes de alto valor.

“Construir redes de dispositivos comprometidos permite aos administradores de redes de ORB aumentar facilmente o tamanho de sua rede de ORB com pouco esforço e criar uma rede de malha em constante evolução que pode ser usada para ocultar operações de espionagem”, disse o pesquisador da Mandiant, Michael Raggi.

Uma dessas redes, ORB3 (também conhecida como SPACEHOP), é dito ter sido utilizada por vários atores de ameaças chineses, incluindo APT5 e APT15, enquanto outra rede chamada FLORAHOX – que compreende dispositivos recrutados pelo implante de roteador FLOWERWATER – foi usada pelo APT31.

“O uso de redes de ORB para rotear o tráfego em uma rede comprometida não é uma tática nova, nem é única para atores de espionagem cibernética com origem na China”, disse Raggi. “Rastreamos a espionagem cibernética com origem na China usando essas táticas como parte de uma evolução mais ampla em direção a operações mais propositadas, furtivas e eficazes.”

Você também pode gostar

Melhores Séries de Tv para Assistir em 2021

Cibercriminosos Exploram Recurso Quick Assist da Microsoft em Ataques de Ransomware

Microsoft Avisa Sobre Aumento de Ataques Cibernéticos Direcionados a Dispositivos OT Expostos na Internet