Um agente de ameaça avançado com vínculo com a Índia foi observado usando vários provedores de serviços de nuvem para facilitar a coleta de credenciais, a entrega de malware e o comando e controle (C2).
A empresa de infraestrutura e segurança da Internet Cloudflare está rastreando a atividade sob o nome SloppyLemmingque também é chamado de Outrider Tiger e Fishing Elephant.
“Entre o last de 2022 até o presente, a SloppyLemming usou rotineiramente os Cloudflare Employees, provavelmente como parte de uma ampla campanha de espionagem visando países do sul e leste da Ásia”, disse a Cloudflare em uma análise.
O SloppyLemming é avaliado como ativo desde pelo menos julho de 2021, com campanhas anteriores alavancando malware como Ares RAT e WarHawk, o último dos quais também está vinculado a uma equipe de hackers conhecida chamada SideWinder. O uso do Ares RAT, por outro lado, foi vinculado ao SideCopy, um agente de ameaça provavelmente de origem paquistanesa.
Os alvos das atividades do SloppyLemming abrangem entidades governamentais, policiais, de energia, educacionais, de telecomunicações e de tecnologia localizadas no Paquistão, Sri Lanka, Bangladesh, China, Nepal e Indonésia.
As cadeias de ataque envolvem o envio de e-mails de spear-phishing para alvos que visam induzir os destinatários a clicar em um hyperlink malicioso, induzindo uma falsa sensação de urgência, alegando que eles precisam concluir um processo obrigatório nas próximas 24 horas.
Clicar na URL leva a vítima a uma página de coleta de credenciais, que serve como um mecanismo para o agente da ameaça obter acesso não autorizado a contas de e-mail segmentadas dentro de organizações de interesse.
“O agente usa uma ferramenta personalizada chamada CloudPhish para criar um Cloudflare Employee malicioso para lidar com a lógica de registro de credenciais e a exfiltração das credenciais da vítima para o agente da ameaça”, disse a empresa.
Alguns dos ataques realizados pelo SloppyLemming utilizaram técnicas semelhantes para capturar tokens OAuth do Google, além de empregar arquivos RAR com armadilhas (“CamScanner 06-10-2024 15.29.rar”) que provavelmente exploram uma falha do WinRAR (CVE-2023-38831) para obter execução remota de código.
Presente no arquivo RAR está um executável que, além de exibir o documento falso, carrega furtivamente o “CRYPTSP.dll”, que serve como um downloader para recuperar um trojan de acesso remoto hospedado no Dropbox.
Vale a pena mencionar aqui que a empresa de segurança cibernética SEQRITE detalhou uma campanha análoga realizada pelos agentes do SideCopy no ano passado, visando os setores de defesa e governo da Índia para distribuir o Ares RAT usando arquivos ZIP chamados “DocScanner_AUG_2023.zip” e “DocScanner-Oct.zip”, que são projetados para acionar a mesma vulnerabilidade.
Uma terceira sequência de infecção empregada pelo SloppyLemming envolve o uso de iscas de spear-phishing para levar possíveis alvos a um web site falso que se passa pelo Punjab Data Know-how Board (PITB) no Paquistão, após o qual eles são redirecionados para outro web site que contém um arquivo de atalho da Web (URL).
O arquivo URL vem incorporado com código para baixar outro arquivo, um executável chamado PITB-JR5124.exe, do mesmo servidor. O binário é um arquivo legítimo que é usado para fazer sideload de uma DLL desonesta chamada profapi.dll que subsequentemente se comunica com um Cloudflare Employee.
Esses URLs do Cloudflare Employee, observou a empresa, atuam como intermediários, retransmitindo solicitações para o domínio C2 actual usado pelo adversário (“aljazeerak(.)on-line”).
A Cloudflare disse que “observou esforços conjuntos do SloppyLemming para atingir departamentos de polícia paquistaneses e outras organizações policiais”, acrescentando que “há indícios de que o agente tem como alvo entidades envolvidas na operação e manutenção da única usina nuclear do Paquistão”.
Alguns dos outros alvos da atividade de coleta de credenciais abrangem organizações governamentais e militares do Sri Lanka e de Bangladesh e, em menor grau, entidades dos setores acadêmico e energético da China.
