O ator de ameaça ligado à China, conhecido como Sharp Panda, expandiu a sua segmentação para incluir organizações governamentais em África e nas Caraíbas, como parte de uma campanha de espionagem cibernética em curso.
“A campanha adota o Cobalt Strike Beacon como carga útil, permitindo funcionalidades backdoor como comunicação C2 e execução de comandos, ao mesmo tempo que minimiza a exposição de suas ferramentas personalizadas”, disse Examine Level em um relatório compartilhado com The Hacker Information. “Esta abordagem refinada sugere uma compreensão mais profunda dos seus alvos.”
A empresa israelense de segurança cibernética está rastreando a atividade com um novo nome Dragão Afiadodescrevendo o adversário como cuidadoso na sua escolha de alvos, ao mesmo tempo que alarga os seus esforços de reconhecimento.
O adversário veio à tona pela primeira vez em junho de 2021, quando foi detectado que tinha como alvo um governo do Sudeste Asiático para implantar um backdoor em sistemas Home windows denominado VictoryDLL.
Os ataques subsequentes montados pela Sharp Dragon visaram entidades governamentais de alto perfil no Sudeste Asiático para fornecer a estrutura modular de malware Soul, que é então usada para receber componentes adicionais de um servidor controlado por um ator para facilitar a coleta de informações.
As evidências sugerem que o backdoor Soul está em desenvolvimento desde outubro de 2017, adotando recursos do Gh0st RAT – malware comumente associado a uma ampla gama de atores de ameaças chineses – e outras ferramentas disponíveis publicamente.
Outro conjunto de ataques atribuídos aos actores da ameaça teve como alvo funcionários governamentais de alto nível dos países do G20 ainda em Junho de 2023, indicando um foco contínuo nos órgãos governamentais para a recolha de informações.
A chave para as operações da Sharp Panda é a exploração de falhas de segurança de 1 dia (por exemplo, CVE-2023-0669) para se infiltrar na infraestrutura para uso posterior como servidores de comando e controle (C2). Outro aspecto notável é o uso da estrutura de simulação de adversário legítimo Cobalt Strike em backdoors personalizados.
Além disso, o mais recente conjunto de ataques dirigidos a governos em África e nas Caraíbas demonstra uma expansão dos seus objectivos de ataque originais, com o modus operandi a envolver a utilização de contas de e-mail de alto perfil comprometidas no Sudeste Asiático para enviar e-mails de phishing para infectar novos alvos em as duas regiões.
Essas mensagens contêm anexos maliciosos que aproveitam o armamento Royal Highway Wealthy Textual content Format (RTF) para lançar um downloader chamado 5.t, responsável por realizar o reconhecimento e lançar o Cobalt Strike, permitindo que os invasores coletem informações sobre o ambiente alvo.
O uso do Cobalt Strike como backdoor não apenas minimiza a exposição de ferramentas personalizadas, mas também sugere uma “abordagem refinada para avaliação de alvos”, acrescentou a Examine Level.
Num sinal de que o agente da ameaça está continuamente a aperfeiçoar as suas tácticas, foram observadas sequências de ataques recentes utilizando executáveis disfarçados de documentos para iniciar a infecção, em vez de depender de um documento Phrase utilizando um modelo remoto para descarregar um ficheiro RTF armado com Estrada Actual.
“A expansão estratégica da Sharp Dragon em direcção a África e às Caraíbas significa um esforço mais amplo dos actores cibernéticos chineses para aumentar a sua presença e influência nestas regiões.”
As descobertas surgem no mesmo dia em que a Palo Alto Networks descobriu detalhes de uma campanha com o codinome Operação Espectro Diplomático, que tem como alvo missões diplomáticas e governos no Médio Oriente, África e Ásia desde pelo menos o ultimate de 2022. Os ataques estão ligados a uma ameaça chinesa. ator apelidado de TGR-STA-0043 (anteriormente CL-STA-0043).
A mudança nas actividades da Sharp Dragon em direcção a África faz parte de esforços maiores feitos pela China para estender a sua influência a todo o continente.
“Estes ataques alinham-se visivelmente com o gentle energy e a agenda tecnológica mais ampla da China na região, concentrando-se em áreas críticas como o sector das telecomunicações, instituições financeiras e órgãos governamentais”, observou anteriormente o investigador de segurança da SentinelOne, Tom Hegel, em Setembro de 2023.
O desenvolvimento também segue um relatório da Mandiant, de propriedade do Google, que destacou o uso de redes proxy pela China, conhecidas como redes de caixas de retransmissão operacionais (ORBs), para ocultar suas origens ao realizar operações de espionagem e alcançar taxas de sucesso mais altas na obtenção e manutenção de acesso a informações de alto nível. redes de valor.
“Construir redes de dispositivos comprometidos permite que os administradores de rede ORB aumentem facilmente o tamanho de sua rede ORB com pouco esforço e criem uma rede mesh em constante evolução que pode ser usada para ocultar operações de espionagem”, disse o pesquisador da Mandiant, Michael Raggi.
Diz-se que uma dessas redes ORB3 (também conhecida como SPACEHOP) foi aproveitada por vários atores de ameaças do nexo da China, incluindo APT5 e APT15, enquanto outra rede chamada FLORAHOX – que compreende dispositivos recrutados pelo implante do roteador FLOWERWATER – foi colocada em uso pela APT31 .
“O uso de redes ORB para proxy de tráfego em uma rede comprometida não é uma tática nova, nem é exclusiva dos atores de espionagem cibernética do nexo da China”, disse Raggi. “Rastreamos a espionagem cibernética no nexo da China usando essas táticas como parte de uma evolução mais ampla em direção a operações mais objetivas, furtivas e eficazes”.
