Você está visualizando atualmente Novas Fronteiras, Antigas Táticas: Grupo de Espionagem Chinês Visando Governos da África e do Caribe

Novas Fronteiras, Antigas Táticas: Grupo de Espionagem Chinês Visando Governos da África e do Caribe

O ator de ameaças ligado à China conhecido como Sharp Panda expandiu seus alvos para incluir organizações governamentais na África e no Caribe como parte de uma campanha contínua de espionagem cibernética. A empresa de segurança cibernética de Israel está rastreando as atividades sob um novo nome, Sharp Dragon, descrevendo o adversário como cuidadoso em sua segmentação, ao mesmo tempo em que amplia seus esforços de reconhecimento. A abordagem refinada do ator sugere uma compreensão mais profunda de seus alvos, com o uso do Beacon do Cobalt Strike para habilitar funcionalidades de backdoor como comunicação C2 e execução de comandos, minimizando a exposição de suas ferramentas personalizadas. A campanha foi detectada alvejando um governo do Sudeste Asiático em junho de 2021, inicialmente visando um governo do Sudeste Asiático para implantar um backdoor em sistemas Windows denominado VictoryDLL. Ataques subsequentes realizados pela Sharp Dragon buscaram entidades governamentais de alto perfil no Sudeste Asiático para entregar o framework de malware modular Soul, usado para receber componentes adicionais de um servidor controlado pelo ator para facilitar a coleta de informações. Há evidências que sugerem que o backdoor Soul está em operação desde outubro de 2017, adotando recursos do Gh0st RAT – malware comumente associado a uma variedade de atores de ameaças chineses – e outras ferramentas disponíveis publicamente. Outro conjunto de ataques atribuído ao ator de ameaças têm como alvo autoridades governamentais de alto nível das nações do G20, indicando um foco contínuo em corpos governamentais para a coleta de informações. A exploração de falhas de segurança no dia 1 e o uso do framework legítimo Cobalt Strike em vez de backdoors personalizados são aspectos relevantes das operações da Sharp Panda. Além disso, os ataques recentes direcionados a governos na África e no Caribe demonstram uma expansão de seus objetivos originais, com o uso de contas de e-mail de alto perfil comprometidas no Sudeste Asiático para enviar e-mails de phishing para infectar novos alvos nas duas regiões. Essas mensagens contêm anexos maliciosos que aproveitam o Royal Road Rich Text Format (RTF) para baixar um downloader chamado 5.t, responsável por realizar reconhecimento e executar o Beacon do Cobalt Strike, permitindo aos atacantes coletar informações sobre o ambiente-alvo. O uso do Cobalt Strike como backdoor não apenas minimiza a exposição de ferramentas personalizadas, mas também sugere uma “abordagem refinada para a avaliação de alvos”, conforme adicionado pela Check Point. Em um sinal de que o ator de ameaças está refinando continuamente suas táticas, sequências de ataques recentes têm sido observadas usando executáveis disfarçados como documentos para iniciar a infecção, em vez de depender de um documento do Word que utiliza um modelo remoto para baixar um arquivo RTF armado com o Royal Road. A expansão estratégica da Sharp Dragon para a África e o Caribe significa um esforço mais amplo dos atores cibernéticos chineses para aprimorar sua presença e influência nessas regiões. Essas descobertas coincidem com detalhes descobertos pela Palo Alto Networks sobre uma campanha denominada Operação Specter Diplomático que tem alvejado missões diplomáticas e governos no Oriente Médio, África e Ásia desde pelo menos o final de 2022. Os ataques foram associados a um ator de ameaças chinês chamado TGR-STA-0043. As invasões estratégicas sustentadas por atores de ameaças chineses na África contra setores industriais-chave, como provedores de serviços de telecomunicações, instituições financeiras e órgãos governamentais, alinham-se com a agenda tecnológica da nação na região, vinculando-se ao projeto Digital Silk Road anunciado em 2015. Isso segue um relatório da Mandiant, de propriedade do Google, que destacou o uso pela China de redes proxy referidas como redes de caixas de retransmissão operacionais (ORBs) para obscurecer suas origens ao realizar operações de espionagem e alcançar taxas mais altas de sucesso em obter e manter acesso a redes de alto valor. A construção de redes de dispositivos comprometidos permite aos administradores de redes ORB expandir facilmente o tamanho de sua rede ORB com pouco esforço, formando uma rede malha em constante evolução que pode ser usada para ocultar operações de espionagem. Essas redes proxy consistem em servidores virtuais privados comercialmente alugados (VPSes) ou roteadores e dispositivos de Internet das Coisas (IoT) comprometidos e em fim de vida de todo o mundo, tornando a atribuição ainda mais desafiadora e permitindo que os adversários visem entidades de dispositivos que estejam em proximidade geográfica. Uma dessas redes, ORB3 (também conhecida como SPACEHOP), foi utilizada por múltiplos atores de ameaças chineses, incluindo APT5 e APT15, enquanto outra rede chamada FLORAHOX – que inclui dispositivos recrutados pelo implante do roteador FLOWERWATER – foi usada pelo APT31. O uso de redes ORB para rotear o tráfego em uma rede comprometida não é uma tática nova, nem exclusiva de atores de cibere…