O agente de ameaças apoiado pela China conhecido como Earth Baku diversificou sua área de atuação além da região Indo-Pacífico para incluir Europa, Oriente Médio e África a partir do remaining de 2022.
Os países recentemente visados como parte da atividade incluem Itália, Alemanha, Emirados Árabes Unidos e Catar, com ataques suspeitos também detectados na Geórgia e Romênia. Governos, mídia e comunicações, telecomunicações, tecnologia, saúde e educação são alguns dos setores destacados como parte do conjunto de intrusão.
“O grupo atualizou suas ferramentas, táticas e procedimentos (TTPs) em campanhas mais recentes, fazendo uso de aplicativos públicos, como servidores IIS, como pontos de entrada para ataques, após os quais eles implantam conjuntos de ferramentas de malware sofisticados no ambiente da vítima”, disseram os pesquisadores da Pattern Micro, Ted Lee e Theo Chen, em uma análise publicada na semana passada.
As descobertas se baseiam em relatórios recentes da Zscaler e da Mandiant, de propriedade do Google, que também detalharam o uso de famílias de malware como DodgeBox (também conhecido como DUSTPAN) e MoonWalk (também conhecido como DUSTTRAP) pelo agente da ameaça. A Pattern Micro deu a eles os apelidos StealthReacher e SneakCross.
Earth Baku, um agente de ameaças associado ao APT41, é conhecido por usar o StealthVector desde outubro de 2020. As cadeias de ataque envolvem a exploração de aplicativos públicos para instalar o shell da net do Godzilla, que é então usado para entregar cargas úteis subsequentes.
O StealthReacher foi classificado como uma versão aprimorada do carregador backdoor StealthVector, responsável por lançar o SneakCross, um implante modular e provável sucessor do ScrambleCross que aproveita os serviços do Google para sua comunicação de comando e controle (C2).
Os ataques também são caracterizados pelo uso de outras ferramentas de pós-exploração, como iox, Rakshasa e um serviço de Rede Privada Digital (VPN) conhecido como Tailscale. A exfiltração de dados sensíveis para o serviço de armazenamento em nuvem MEGA é realizada por meio de um utilitário de linha de comando chamado MEGAcmd.
“O grupo empregou novos carregadores, como StealthVector e StealthReacher, para lançar furtivamente componentes de backdoor, e adicionou o SneakCross como seu mais recente backdoor modular”, disseram os pesquisadores.
“O Earth Baku também usou diversas ferramentas durante sua pós-exploração, incluindo uma ferramenta iox personalizada, Rakshasa, TailScale para persistência e MEGAcmd para exfiltração eficiente de dados.”
