Você está visualizando atualmente Pesquisadores Alertam Sobre Hackers Alinhados com a China Atacando Países do Mar do Sul da China

Pesquisadores Alertam Sobre Hackers Alinhados com a China Atacando Países do Mar do Sul da China

Os pesquisadores de segurança cibernética revelaram detalhes de um grupo de ameaças anteriormente não documentado chamado “Névoa Marítima Inabalável”, que se acredita estar ativo desde 2018.

A invasão visou organizações de alto nível em países do Mar do Sul da China, especialmente alvos militares e governamentais, disse a Bitdefender em um relatório compartilhado com o The Hacker News.

“A investigação revelou uma tendência preocupante além do contexto histórico”, disse Martin Zugec, diretor de soluções técnicas da Bitdefender, adicionando que identificou um total de oito vítimas até o momento.

“É importante ressaltar que os atacantes recuperaram repetidamente o acesso aos sistemas comprometidos. Essa exploração destaca uma vulnerabilidade crítica: higiene de credenciais fraca e práticas inadequadas de patch em dispositivos expostos e serviços da web.”

Existem indicações de que o ator de ameaças por trás dos ataques está operando com objetivos alinhados aos interesses chineses, apesar do fato de que as assinaturas dos ataques não se sobrepõem com as de qualquer grupo de hackers conhecido.

Isso inclui a pegada de vitimologia, com países como as Filipinas e outras organizações no Pacífico Sul anteriormente sendo alvos do ator Mustang Panda, ligado à China.

Também são usadas nas invasões várias iterações do malware Gh0st RAT, um cavalo de Troia de mercadoria conhecido por ser utilizado por atores de ameaças de língua chinesa.

“Uma técnica específica empregada pelo Névoa Marítima Inabalável – executar código JScript por meio de uma ferramenta chamada SharpJSHandler – assemelhava-se a uma funcionalidade encontrada no backdoor ‘FunnySwitch’, que foi associado ao APT41”, disse a Bitdefender. “Ambos envolvem carregar montagens .NET e executar código JScript. No entanto, esta foi uma semelhança isolada.”

O exato caminho de acesso inicial usado para infiltrar os alvos ainda não é conhecido, embora, de forma interessante, o Névoa Marítima Inabalável tenha sido observado recuperando o acesso às mesmas entidades por meio de e-mails de spear-phishing contendo arquivos armadilhados.

Esses arquivos de arquivamento vêm com arquivos de atalho do Windows (LNK) que, quando lançados, iniciam o processo de infecção executando um comando projetado para recuperar o payload da próxima etapa de um servidor remoto. Este payload é um backdoor chamado SerialPktdoor, projetado para executar scripts do PowerShell, enumerar diretórios, fazer download/upload de arquivos e excluir arquivos.

Além disso, o comando utiliza o Microsoft Build Engine (MSBuild) para executar um arquivo localizado em um local remoto sem deixar rastros no host da vítima e reduzir as chances de detecção.

As cadeias de ataque são caracterizadas pelo uso de tarefas agendadas como uma forma de estabelecer persistência, com os nomes das tarefas se passando por arquivos legítimos do Windows que são usados para executar um executável inofensivo suscetível ao DLL side-loading para carregar um DLL malicioso.

“Além de usar tarefas agendadas, o atacante empregou outra técnica de persistência: manipular contas de Administrador locais”, disse a empresa de cibersegurança romena. “Isso envolveu tentativas de habilitar a conta de Administrador local desativada, seguidas de redefinição de sua senha.”

Pelo menos desde setembro de 2022, sabe-se que o Névoa Marítima Inabalável incorpora ferramentas comerciais de Monitoramento e Gerenciamento Remoto (RMM) disponíveis comercialmente, como o ITarian RMM, para obter uma posição forte nas redes das vítimas, uma tática não comumente observada entre atores estatais, exceto o grupo Iranian MuddyWater.

A sofisticação do adversário é evidenciada por uma ampla variedade de ferramentas personalizadas em seu arsenal, que inclui variantes do Gh0st RAT, como SilentGh0st e seu sucessor evolutivo InsidiousGh0st (que vem em versões C++, C# e Go), TranslucentGh0st, FluffyGh0st e EtherealGh0st, sendo os três últimos modulares e adotando uma abordagem baseada em plug-ins.

Também são usados um carregador chamado Ps2dllLoader, capaz de contornar a Interface de Verificação Antivírus (AMSI) e agir como um conduto para entregar o SharpJSHandler, e um keylogger chamado xkeylog, um ladrão de dados do navegador da web, um monitor de dispositivos portáteis e um programa de exfiltração de dados personalizado chamado DustyExfilTool.

Presente no arsenal complexo de agentes maliciosos e ferramentas usadas pelo Névoa Marítima Inabalável está um terceiro backdoor chamado SharpZulip que utiliza a API de serviço de mensagens Zulip para buscar comandos para execução de um fluxo chamado “NDFUIBNFWDNSA”. No Zulip, os fluxos (agora chamados de canais) são análogos aos canais no Discord e Slack.

Há evidências que sugerem que a exfiltração de dados é realizada manualmente pelo ator de ameaça para capturar informações de interesse, incluindo dados de aplicativos de mensagens como Telegram e Viber, e empacotá-los em um arquivo protegido por senha.

“Essa combinação de ferramentas personalizadas e prontas para uso, juntamente com a extração manual de dados, desenha um quadro de uma campanha de espionagem direcionada focada na aquisição de informações sensíveis de sistemas comprometidos”, destacou Zugec.

“Seu arsenal personalizado de malware, incluindo a família Gh0st RAT e o Ps2dllLoader, mostra um foco em flexibilidade e técnicas de evasão. A mudança observada em direção à modularidade, elementos dinâmicos e execução na memória destaca seus esforços para contornar medidas de segurança tradicionais.”