Pesquisadores de cibersegurança divulgaram detalhes de um grupo de ameaças anteriormente não documentado chamado de Névoa Marinha Infalível, que se acredita estar ativo desde 2018.
A intrusão focou em organizações de alto nível em países do Mar do Sul da China, principalmente alvos militares e governamentais, afirmou a Bitdefender em um relatório compartilhado com o The Hacker News.
“A investigação revelou uma tendência preocupante além do contexto histórico”, disse Martin Zugec, diretor de soluções técnicas da Bitdefender, acrescentando que foram identificadas um total de oito vítimas até o momento.
“Notavelmente, os atacantes frequentemente reconquistaram o acesso aos sistemas comprometidos. Essa exploração destaca uma vulnerabilidade crítica: higiene pobre de credenciais e práticas inadequadas de correção em dispositivos e serviços da web expostos”.
Há indicações de que o ator de ameaça por trás dos ataques está operando com objetivos alinhados aos interesses chineses, apesar de as assinaturas de ataque não se sobreporem às de nenhuma equipe de hackers conhecida.
Isso inclui a pegada de vítimas, com países como as Filipinas e outras organizações do Pacífico Sul anteriormente visadas pelo ator chinês Mustang Panda.
Também utilizadas nos ataques estão várias iterações do malware Gh0st RAT, um trojan de commodity conhecido por ser usado por atores de ameaça que falam chinês.
“Uma técnica específica empregada pela Névoa Marinha Infalível – executar código JScript por meio de uma ferramenta chamada SharpJSHandler – se assemelhava a um recurso encontrado no backdoor ‘FunnySwitch’, que foi associado ao APT41”, disse a Bitdefender. “Ambos envolvem carregar assemblies .NET e executar código JScript. No entanto, essa foi uma semelhança isolada”.
A exata via de acesso inicial usada para infiltrar os alvos ainda não é conhecida, embora, em uma reviravolta interessante, a Névoa Marinha Infalível tenha sido observada reconquistando o acesso às mesmas entidades por meio de e-mails de spear-phishing contendo arquivos armadilhados.
Esses arquivos de arquivos vêm com arquivos de atalho do Windows (LNK) que, quando lançados, iniciam o processo de infecção executando um comando projetado para recuperar a carga da próxima etapa de um servidor remoto. Essa carga é um backdoor chamado de SerialPktdoor, projetado para executar scripts PowerShell, enumerar diretórios, fazer download/upload de arquivos e excluir arquivos.
Além disso, o comando utiliza o Motor de Compilação da Microsoft (MSBuild) para executar sem arquivos um arquivo localizado em um local remoto, deixando assim nenhuma rastros no host da vítima e diminuindo as chances de detecção.
As cadeias de ataque são caracterizadas pelo uso de tarefas programadas como forma de estabelecer persistência, com os nomes das tarefas se passando por arquivos legítimos do Windows que são usados para executar um executável inofensivo propenso ao carregamento lateral de DLL para carregar uma DLL maliciosa.
“Além de usar tarefas programadas, o atacante empregou outra técnica de persistência: manipular contas de Administrador locais,” disse a empresa de cibersegurança romena. “Isso envolveu tentativas de habilitar a conta de Administrador local desativada, seguidas por redefinir a senha”.
Pelo menos desde setembro de 2022, a Névoa Marinha Infalível é conhecida por incorporar ferramentas comerciais de Monitoramento e Gerenciamento Remoto (RMM) disponíveis no mercado, como ITarian RMM, para obter uma posição em redes de vítimas, uma tática não comumente observada entre atores de estados-nação, exceto o grupo MuddyWater iraniano.
A sofisticação do adversário é evidenciada por uma ampla variedade de ferramentas personalizadas em seu arsenal, que inclui variantes do Gh0st RAT, como SilentGh0st e seu sucessor evolutivo InsidiousGh0st (que vem nas versões C++, C# e Go), TranslucentGh0st, FluffyGh0st e EtherealGh0st, os três últimos dos quais são modulares e adotam uma abordagem baseada em plug-ins.
Também é utilizado um carregador chamado Ps2dllLoader que pode contornar a Interface de Verificação Antimalware (AMSI) e serve como um conduto para fornecer o SharpJSHandler, que opera ouvindo as solicitações HTTP e executando o código JavaScript codificado usando a biblioteca Microsoft.JScript.
A Bitdefender afirmou ter descoberto mais dois tipos de SharpJSHandler capazes de recuperar e executar uma carga de serviços de armazenamento em nuvem como Dropbox e Microsoft Ondrive, e exportar os resultados de volta para o mesmo local.
O Ps2dllLoader também contém outro backdoor chamado Stubbedoor, responsável por lançar uma montagem .NET criptografada recebida de um servidor de comando e controle (C2).
Outros artefatos implantados ao longo dos ataques incluem um keylogger chamado xkeylog, um rouba-senhas de navegador, uma ferramenta para monitorar a presença de dispositivos portáteis, e um programa personalizado de exfiltração de dados chamado DustyExfilTool, que foi utilizado entre março de 2018 e janeiro de 2022.
Presente entre o complexo arsenal de agentes maliciosos e ferramentas usadas pela Névoa Marinha Infalível está um terceiro backdoor referido como SharpZulip, que utiliza a API do serviço de mensagens Zulip para buscar comandos para execução de um fluxo chamado “NDFUIBNFWDNSA”. No Zulip, os fluxos (agora chamados canais) são análogos aos canais no Discord e Slack.
Há evidências que sugerem que a exfiltração de dados é realizada manualmente pelo ator de ameaça para capturar informações de interesse, incluindo dados de aplicativos de mensagens como Telegram e Viber, e empacotá-los na forma de um arquivo protegido por senha.
“Essa combinação de ferramentas personalizadas e prontas para o uso, juntamente com a extração manual de dados, retrata um quadro de uma campanha de espionagem direcionada focada em adquirir informações sensíveis de sistemas comprometidos,” ressaltou Zugec.
“Seu arsenal de malware personalizado, incluindo a família Gh0st RAT e o Ps2dllLoader, destaca um foco em flexibilidade e técnicas de evasão. A mudança observada para modulação, elementos dinâmicos e execução na memória destaca seus esforços para contornar medidas de segurança tradicionais”.
