Você está visualizando atualmente Novas Fronteiras, Velhas Táticas: Grupo de Espionagem Chinês Ataca Governos da África e do Caribe

Novas Fronteiras, Velhas Táticas: Grupo de Espionagem Chinês Ataca Governos da África e do Caribe

O grupo de ameaças ligado à China conhecido como Sharp Panda expandiu seus alvos para incluir organizações governamentais na África e Caribe como parte de uma campanha contínua de espionagem cibernética.

“A campanha adota o Cobalt Strike Beacon como payload, permitindo funcionalidades de backdoor como comunicação C2 e execução de comandos, minimizando a exposição de suas ferramentas personalizadas”, disse a Check Point em um relatório compartilhado com o The Hacker News. “Essa abordagem refinada sugere um entendimento mais profundo de seus alvos.”

A empresa de cibersegurança israelense está rastreando a atividade sob um novo nome, Sharp Dragon, descrevendo o adversário como cuidadoso em seus alvos, ao mesmo tempo em que amplia seus esforços de reconhecimento.

O adversário veio à tona em junho de 2021, quando foi detectado visando um governo do Sudeste Asiático para implantar um backdoor em sistemas Windows denominado VictoryDLL.

Ataques subsequentes montados pela Sharp Dragon visaram entidades governamentais de alto perfil no Sudeste Asiático para entregar o framework de malware modular Soul, que é então usado para receber componentes adicionais de um servidor controlado pelo ator para facilitar a coleta de informações.

A evidência sugere que o backdoor Soul está em desenvolvimento desde outubro de 2017, adotando recursos do Gh0st RAT – malware comumente associado a uma variedade de atores de ameaças chineses – e de outras ferramentas publicamente disponíveis.

Outro conjunto de ataques atribuído ao grupo de ameaças visou autoridades governamentais de alto escalão das nações do G20 até junho de 2023, indicando foco contínuo em órgãos governamentais para coleta de informações.

A chave para as operações da Sharp Panda é a exploração de falhas de segurança de 1 dia para infiltrar a infraestrutura para posterior uso como servidores de comando e controle (C2). Outro aspecto notável é o uso do framework legítimo de simulação de adversário Cobalt Strike em vez de backdoors personalizados.

Além disso, o mais recente conjunto de ataques direcionados a governos na África e no Caribe demonstra uma expansão de seus objetivos de ataque originais, com a técnica envolvendo o uso de contas de e-mail de alto perfil comprometidas no Sudeste Asiático para enviar e-mails de phishing para infectar novos alvos nas duas regiões.

Essas mensagens contêm anexos maliciosos que usam a ferramenta de formatação de texto rico Royal Road Rich Text Format (RTF) para baixar um downloader chamado 5.t responsável por conduzir reconhecimento e lançar o Cobalt Strike Beacon, permitindo que os atacantes reúnam informações sobre o ambiente do alvo.

O uso do Cobalt Strike como backdoor não apenas minimiza a exposição das ferramentas personalizadas, mas também sugere uma “abordagem refinada para avaliação de alvos”, acrescentou a Check Point.

Em um sinal de que o grupo de ameaças está continuamente refinando suas táticas, sequências recentes de ataques têm sido observadas usando executáveis disfarçados de documentos para iniciar a infecção, em vez de depender de um documento do Word que utiliza um modelo remoto para baixar um arquivo RTF com Royal Road.

“A expansão estratégica do Sharp Dragon para África e Caribe significa um esforço mais amplo dos atores cibernéticos chineses para aumentar sua presença e influência nessas regiões.”