Provavelmente em andamento desde pelo menos 2020 e atribuída a um agente de ameaças patrocinado por um Estado, rastreado como CL-STA-1087, a atividade demonstra um alto grau de paciência, já que os atacantes permaneceram inativos nos ambientes comprometidos por meses.
“Os atacantes por trás desse grupo buscaram e coletaram ativamente arquivos altamente específicos sobre capacidades militares, estruturas organizacionais e esforços de colaboração com as forças armadas ocidentais”, observa a Palo Alto Networks.
Como parte das intrusões observadas, os hackers implantaram ferramentas personalizadas, como os backdoors AppleChris e MemFun e o ladrão de credenciais Getpass, e executaram scripts maliciosos do PowerShell remotamente em vários sistemas infectados.
Embora o vetor de infecção inicial não tenha sido identificado, a Palo Alto Networks determinou que, em pelo menos um caso, o CL-STA-1087 teve acesso ao ambiente de uma organização por meses antes de retomar suas operações. Os atacantes implantaram scripts do PowerShell projetados para criar shells reversos para um servidor de comando e controle (C&C) e usaram o acesso para instalar o backdoor AppleChris. Em seguida, eles se basearam no WMI e em comandos nativos do Windows .NET para infectar controladores de domínio, servidores web, estações de trabalho de TI e sistemas de nível executivo.
Como parte da atividade renovada, os espiões chineses criaram um novo serviço para persistência e execução de payloads e armazenaram uma DLL maliciosa na pasta System32, abusando do sequestro de DLL para carregá-la por meio de um serviço de cópia sombra. Após a movimentação lateral, os hackers começaram a procurar arquivos confidenciais, como registros de reuniões oficiais, avaliações de capacidades operacionais e detalhes de atividades militares conjuntas. "Os atacantes mostraram interesse particular em arquivos relacionados a estruturas organizacionais e estratégia militar, incluindo sistemas de comando, controle, comunicações, computadores e inteligência (C4I)", explica a Palo Alto Networks.
O agente malicioso implantou múltiplas variantes do backdoor AppleChris: uma versão de desenvolvimento anterior que utilizava uma conta do Dropbox e o Pastebin como servidores de entrega remota, e uma variante chamada Tunneler que dependia apenas do Pastebin, mas adicionava recursos avançados de proxy de rede. O backdoor resolve dinamicamente o endereço IP do seu servidor de comando e controle (C&C) para receber comandos, permitindo enumerar unidades, listar diretórios, baixar/enviar/excluir arquivos, enumerar processos, executar comandos de shell remotamente e criar processos. Além do AppleChris, os hackers implantaram o MemFun, uma família de malware de múltiplos estágios que depende do carregamento reflexivo de DLLs para a execução do backdoor principal.
Ademais, eles foram vistos implantando o Getpass, uma versão personalizada do Mimikatz que visa 10 pacotes de autenticação específicos do Windows para coletar credenciais. Com base nas datas de criação do Pastebin e nos registros de compilação do malware analisado, a Palo Alto Networks acredita que o grupo de espionagem está ativo desde pelo menos 2020. "Nossa análise sugere que os invasores mantiveram comunicação com várias redes comprometidas por um longo período, utilizando o Pastebin e o Dropbox para distribuição de C&C. As evidências sugerem que o agente de ameaças por trás do cluster de atividades continua atualizando sua conta do Dropbox com arquivos de infraestrutura atualizados", observa a empresa de segurança cibernética. A investigação da Palo Alto Networks também revelou que o cronograma operacional dos invasores está alinhado com o fuso horário UTC+8, que representa o horário comercial típico na China e em outras regiões da Ásia.
O direcionamento a organizações militares no Sudeste Asiático, o uso de infraestrutura de rede em nuvem baseada na China e o uso de chinês simplificado em uma página de login para um servidor C&C sugerem que o grupo patrocinado pelo Estado por trás desta campanha provavelmente está operando na China, afirma a Palo Alto Networks.
Nenhum comentário:
Postar um comentário