Um grupo de ameaças alinhado ao estado chinês tem exfiltrado e-mails e arquivos de alvos governamentais e militares de alto escalão em todo o Oriente Médio, África e Sudeste Asiático diariamente desde o final de 2022.
A Operação Diplomatic Specter, uma campanha de espionagem descrita em um novo relatório da Palo Alto Networks’ Unit 42, tem como alvo ministérios de relações exteriores, entidades militares, embaixadas e outros, em pelo menos sete países em três continentes. Seu objetivo é obter informações confidenciais e sensíveis sobre conflitos geopolíticos, missões diplomáticas e econômicas, operações militares, reuniões políticas e cúpulas, políticos e militares de alto escalão, e, principalmente, embaixadas e ministérios de relações exteriores.
A campanha está em andamento, e os atacantes já demonstraram disposição para continuar espionando, mesmo após serem expostos e expulsos de redes comprometidas.
Os ataques do Diplomatic Specter começam visando servidores web e servidores Microsoft Exchange. Os atacantes exploram esses ativos de frente para a internet usando duas vulnerabilidades críticas de três anos – ProxyLogon e ProxyShell – e implantes VBScript em memória.
Com o acesso inicial em mãos, o grupo fez uso de um total de 16 ferramentas maliciosas. Algumas são programas de código aberto comuns, como a ferramenta de varredura nbtscan JuicyPotatoNG, uma ferramenta de escalonamento de privilégios para Windows e Mimikatz para roubo de credenciais. Algumas são mais singulares, como o Yasso, uma ferramenta de teste de penetração chinesa relativamente nova e poderosa que os atacantes podem usar para força bruta, varredura, shell interativo, execução de comando arbitrário e outros. Nunca antes os atores de ameaça foram registrados usando o Yasso na prática.
O Diplomatic Specter também faz uso de algumas famílias de malware chinesas notórias como PlugX e China Chopper. Mais notavelmente, ele usa o Gh0st RAT, tanto como meio de consolidar sua posição em sistemas-alvo quanto como inspiração para os próprios backdoors personalizados do Diplomatic Specter.
Primeiro, há o SweetSpecter, uma nova variante do Gh0st RAT ressurgido de 2023, em grande parte projetado para comunicações eficazes de comando e controle (C2). Em seguida, o TunnelSpecter, que, além do túnel C2, identifica máquinas vítimas e permite a execução de comandos arbitrários. O TunnelSpecter é codificado com o nome de usuário SUPPORT_388945c0, uma tentativa óbvia de imitar a conta padrão SUPPORT_388945a0 associada ao recurso de Assistência Remota do Windows.
O objetivo de tudo isso é alcançar a caixa de entrada de e-mail de alto valor de um alvo, a partir da qual o Diplomatic Specter começará a exfiltrar silenciosamente e-mails e arquivos sensíveis. Às vezes, o grupo exfiltra toda a caixa de entrada de um alvo. Outras vezes é mais específico, usando buscas por palavras-chave para filtrar assuntos de interesse para a República Popular da China – dados militares, informações de telecomunicações e energia, material relacionado a Xi Jinping, Joe Biden e outros líderes políticos, e assim por diante.
A defesa contra o Diplomatic Specter começa bloqueando seus meios de acesso inicial, por meio de patches e fortalecimento de ativos expostos à internet. Afinal, suas vítimas muito importantes parecem ter sucumbido a vulnerabilidades conhecidas pelo público há algum tempo antes de ocorrerem quaisquer ataques.
Depois disso, diz Assaf Dahan, diretor de pesquisa de ameaças do Cortex na Palo Alto Networks, tudo se resume à defesa em profundidade.
“Vemos organizações de todo o mundo que não praticam uma boa ciber-higiene, e elas deixam enormes brechas para os hackers entrarem”, diz ele. “[Você precisa de] todas as camadas de segurança que você pode obter: boa monitoração de rede, detecção e resposta, soluções de e-mail em nuvem.
“Depois de erguer cercas suficientes, realmente torna mais difícil para os atores mal-intencionados entrarem em sua rede”.