Uma campanha recém-descoberta chamada "Stayin' Alive" tem como alvo organizações governamentais e provedores de serviços de telecomunicações em toda a Ásia desde 2021, usando uma ampla variedade de malware "descartável" para evitar a detecção.
A maioria dos alvos da campanha vistos pela empresa de segurança cibernética Check Point estão baseados no Cazaquistão, Uzbequistão, Paquistão e Vietname, enquanto a campanha ainda está em curso.
Os ataques parecem ter origem no ator de espionagem chinês conhecido como ‘ToddyCat’, que se baseia em mensagens de spear-phishing que transportam anexos maliciosos para carregar uma variedade de carregadores de malware e backdoors.
Alvos Stayin Alive (Check Point)
Os pesquisadores explicam que os atores da ameaça usam muitos tipos diferentes de ferramentas personalizadas, que eles acreditam serem descartáveis para ajudar a evitar a detecção e evitar a vinculação de ataques entre si.
“O amplo conjunto de ferramentas descrito neste relatório é feito sob medida e provavelmente facilmente descartável. Como resultado, eles não mostram sobreposições claras de código com nenhum conjunto de ferramentas conhecido, nem mesmo entre si”, explica Check Point.
O ataque começa com um e-mail
O ataque começa com um e-mail de spearphishing elaborado para atingir indivíduos específicos em organizações importantes, instando-os a abrir o arquivo ZIP anexado.
O arquivo contém um executável assinado digitalmente nomeado para corresponder ao contexto do e-mail e uma DLL maliciosa que explora uma vulnerabilidade (CVE-2022-23748) no software Dante Discovery da Audinate para carregar o malware "CurKeep" no sistema.
Cadeia de infecção CurKeep (Check Point)
CurKeep é um backdoor de 10kb que estabelece persistência no dispositivo violado, envia informações do sistema para o servidor de comando e controle (C2) e aguarda comandos.
O backdoor pode extrair uma lista de diretórios dos arquivos de programas da vítima, indicando qual software está instalado no computador, executar comandos e enviar a saída para o servidor C2 e lidar com tarefas baseadas em arquivos conforme instruções de seus operadores.
Além do CurKeep, a campanha utiliza outras ferramentas, principalmente carregadores, executados principalmente por meio de métodos semelhantes de carregamento lateral de DLL.
Os notáveis incluem o carregador CurLu, CurCore e CurLog, cada um com funcionalidades e mecanismos de infecção exclusivos.
CurCore é a mais interessante das cargas secundárias, pois pode criar arquivos e preencher seu conteúdo com dados arbitrários, executar comandos remotos ou ler um arquivo e retornar seus dados no formato codificado em base64.
Outro backdoor notável que se destaca dos demais é o 'StylerServ', que atua como um ouvinte passivo que monitora o tráfego em cinco portas (60810 a 60814) para um arquivo de configuração específico criptografado por XOR ('stylers.bin').
Threads escutando em cinco portas (Check Point)
O relatório não especifica a funcionalidade ou finalidade exata do StylerServ ou stylers.bin, mas provavelmente faz parte de um mecanismo de configuração furtiva para outros componentes de malware.
A Check Point relata que "Stayin' Alive" usa vários exemplos e variantes desses carregadores e cargas úteis, muitas vezes adaptados para alvos regionais específicos (idioma, nomes de arquivos, temas).
A empresa de segurança diz que o cluster recém-identificado é provavelmente um segmento de uma campanha mais ampla que envolve mais ferramentas e métodos de ataque não descobertos.
A julgar pela grande variedade de ferramentas distintas observadas nos ataques e pelo seu nível de personalização, estas parecem ser descartáveis.
Apesar das diferenças de código entre essas ferramentas, todas elas se conectam à mesma infraestrutura, que a Kaspersky vinculou anteriormente ao ToddyCat, um grupo de espiões cibernéticos chineses.
Atualização 12/10 - Pouco depois de publicar este relatório, a Kaspersky publicou uma atualização sobre o rastreamento do ToddyCat APT, destacando novos métodos de ataque e cargas úteis que seus analistas descobriram recentemente.
No ano passado, a Kaspersky observou um cluster paralelo de atividades do mesmo ator de ameaça, diferente daquele visto pela Check Point, com duas variantes de ataque que empregam executáveis VLC legítimos para carregar malware usando a técnica de sideload de DLL.
Um malware notável implantado nesses ataques é o 'Agente Ninja', que oferece gerenciamento de arquivos, shell reverso, gerenciamento de processos e muito mais.
Outras ferramentas que o ToddyCat implantou nesses ataques incluem LoFiSe (rastreador e ladrão de arquivos), Cobalt Strike (conjunto de testes de penetração), DropBox Uploader e um backdoor UDP passivo.
Veja a noticia completa em: https://www.bleepingcomputer.com/news/security/toddycat-hackers-use-disposable-malware-to-target-asian-telecoms/
Fonte: https://www.bleepingcomputer.com
Achou esse artigo interessante? Siga Samir News em
Instagram,
Facebook,
Telegram,
Twitter,
App Boletim Tec e
App Mr Robot Sticker para ler mais conteúdo exclusivo que postamos.
#samirnews #samir #news #boletimtec #hackers #toddycat #usam #malware #‘descartável’ #para #atingir #telecomunicações #asiáticas
Postar um comentário