Pesquisadores de segurança cibernética divulgaram detalhes de um grupo de ameaças anteriormente não documentado chamado “Névoa do Mar Incombustível” que se acredita estar ativo desde 2018.
A intrusão destacou organizações de alto nível em países do Mar do Sul da China, especialmente alvos militares e governamentais, disse a Bitdefender em um relatório compartilhado com o The Hacker News.
“A investigação revelou uma tendência preocupante além do contexto histórico”, disse Martin Zugec, diretor de soluções técnicas da Bitdefender, acrescentando que identificou um total de oito vítimas até o momento.
“Notavelmente, os invasores repetidamente reganharam acesso aos sistemas comprometidos. Essa exploração destaca uma vulnerabilidade crítica: higiene inadequada de credenciais e práticas de atualização insuficientes em dispositivos expostos e serviços da web.”
Há algumas indicações de que o ator de ameaças por trás dos ataques está operando com metas alinhadas aos interesses chineses, apesar de as assinaturas do ataque não se sobreporem às de nenhuma equipe de hackers conhecida.
Isso inclui o perfil de vitimologia, com países como as Filipinas e outras organizações no Pacífico Sul anteriormente atacados pelo ator chinês Mustang Panda.
Também usadas nos ataques são várias iterações do malware Gh0st RAT, um trojan de mercadorias conhecido por ser utilizado por atores de ameaças que falam chinês.
“Uma técnica específica empregada pelo Névoa do Mar Incombustível – executar código JScript por meio de uma ferramenta chamada SharpJSHandler – se assemelhava a um recurso encontrado na backdoor ‘FunnySwitch’, que foi associada ao APT41”, disse a Bitdefender. “Ambos envolvem carregar montagens .NET e executar código JScript. No entanto, essa foi uma semelhança isolada.”
O exato caminho de acesso inicial usado para infiltrar os alvos ainda não é conhecido, embora, em uma reviravolta interessante, o Névoa do Mar Incombustível tenha sido observado reganhando acesso às mesmas entidades por meio de e-mails de spear-phishing contendo arquivos armadilhados.
Esses arquivos de arquivo vêm com arquivos de atalho do Windows (LNK) que, quando lançados, iniciam o processo de infecção executando um comando projetado para recuperar a carga útil da próxima etapa de um servidor remoto. Essa carga útil é uma backdoor chamada SerialPktdoor que é projetada para executar scripts do PowerShell, enumerar diretórios, baixar/enviar arquivos e excluir arquivos.
Além disso, o comando utiliza o Microsoft Build Engine (MSBuild) para executar sem arquivos um arquivo localizado em um local remoto, deixando assim nenhuma rastros no host da vítima e diminuindo as chances de detecção.
As cadeias de ataque são caracterizadas pelo uso de tarefas agendadas como forma de estabelecer persistência, com os nomes das tarefas se fazendo passar por arquivos legítimos do Windows que são usados para executar um executável inofensivo suscetível a DLL side-loading para carregar uma DLL maliciosa.
“Além de usar tarefas agendadas, o atacante empregou outra técnica de persistência: manipular contas locais de Administrador”, disse a empresa romena de segurança cibernética. “Isso envolveu tentativas de habilitar a conta de Administrador local desativada, seguidas por redefinir sua senha.”
Pelo menos desde setembro de 2022, é sabido que o Névoa do Mar Incombustível incorpora ferramentas comerciais de Monitoramento e Gerenciamento Remoto (RMM) disponíveis no mercado, como o ITarian RMM, para obter uma posição em redes de vítimas, uma tática não comumente observada entre atores estatais, exceto pelo grupo iraniano MuddyWater.
A sofisticação do adversário é evidenciada por uma ampla variedade de ferramentas personalizadas em seu arsenal, que compreende variantes do Gh0st RAT, como SilentGh0st e seu sucessor evolutivo InsidiousGh0st (que vem em versões C++, C# e Go), TranslucentGh0st, FluffyGh0st e EtherealGh0st, os três últimos dos quais são modulares e adotam uma abordagem baseada em plug-ins.
Também é utilizado um carregador conhecido como Ps2dllLoader que pode contornar a Interface de Verificação Antimalware (AMSI) e age como um canal para entregar o SharpJSHandler, que opera ouvindo solicitações HTTP e executando o código JavaScript codificado usando a biblioteca Microsoft.JScript.
A Bitdefender disse que descobriu mais duas variantes do SharpJSHandler capazes de recuperar e executar uma carga útil de serviços de armazenamento em nuvem como Dropbox e Microsoft OneDrive, e exportar os resultados de volta para o mesmo local.
O Ps2dllLoader também contém uma outra backdoor chamada Stubbedoor responsável por lançar uma montagem .NET criptografada recebida de um servidor de comando e controle (C2).
Outros artefatos implantados ao longo dos ataques incluem um keylogger chamado xkeylog, um ladrão de dados de navegador da web, uma ferramenta para monitorar a presença de dispositivos portáteis e um programa de exfiltração de dados personalizado chamado DustyExfilTool que foi utilizado entre março de 2018 e janeiro de 2022.
Presente entre o complexo arsenal de agentes e ferramentas maliciosos usados pelo Névoa do Mar Incombustível está uma terceira backdoor chamada SharpZulip que utiliza a API do serviço de mensagens Zulip para buscar comandos para execução de um fluxo chamado “NDFUIBNFWDNSA.” No Zulip, os fluxos (agora chamados de canais) são análogos aos canais no Discord e Slack.
Há evidências que sugerem que a exfiltração de dados é realizada manualmente pelo ator de ameaças para capturar informações de interesse, incluindo dados de aplicativos de mensagens como Telegram e Viber, e empacotá-los na forma de um arquivo protegido por senha.
“Essa combinação de ferramentas personalizadas e prontas para uso, juntamente com a extração de dados manual, desenha um quadro de uma campanha de espionagem direcionada focada em adquirir informações sensíveis de sistemas comprometidos”, destacou Zugec.
“Seu arsenal de malware personalizado, incluindo a família Gh0st RAT e o Ps2dllLoader, mostra um foco em flexibilidade e técnicas de evasão. A observada mudança para modularidade, elementos dinâmicos e execução na memória destaca seus esforços para contornar medidas de segurança tradicionais.”
