O prolífico ator estatal chinês conhecido como APT41 (também conhecido como Brass Hurricane, Earth Baku, Depraved Panda ou Winnti) foi atribuído a um sofisticado ataque cibernético direcionado à indústria de jogos de azar.
“Durante um período de pelo menos seis meses, os invasores coletaram furtivamente informações valiosas da empresa visada, incluindo, entre outras, configurações de rede, senhas de usuários e segredos do processo LSASS”, Ido Naor, cofundador e CEO da A empresa israelense de segurança cibernética Safety Joes, disse em um comunicado compartilhado com o The Hacker Information.
“Durante a invasão, os invasores atualizaram continuamente seu conjunto de ferramentas com base na resposta da equipe de segurança. Ao observar as ações dos defensores, eles alteraram suas estratégias e ferramentas para contornar a detecção e manter acesso persistente à rede comprometida.”
O ataque em vários estágios, que teve como alvo um de seus clientes e durou quase nove meses este ano, apresenta sobreposições com um conjunto de invasões rastreado pelo fornecedor de segurança cibernética Sophos sob o apelido de Operação Crimson Palace.
Naor disse que a empresa respondeu ao incidente há quatro meses, acrescentando que “esses ataques dependem de tomadores de decisão patrocinados pelo Estado. Desta vez, suspeitamos com grande confiança que o APT41 estava em busca de ganhos financeiros”.
A campanha foi projetada pensando na furtividade, aproveitando uma série de táticas para atingir seus objetivos usando um conjunto de ferramentas personalizado que não apenas contorna o software program de segurança instalado no ambiente, mas também coleta informações críticas e estabelece canais secretos para acesso remoto persistente.
Safety Joes descreveu o APT41 como “altamente qualificado e metódico”, destacando sua capacidade de montar ataques de espionagem, bem como envenenar a cadeia de suprimentos, levando assim ao roubo de propriedade intelectual e invasões com motivação financeira, como ransomware e mineração de criptomoedas.
O vetor de acesso inicial exato utilizado no ataque é atualmente desconhecido, mas as evidências apontam para que se trate de e-mails de spear-phishing, dada a ausência de vulnerabilidades ativas em aplicações net voltadas para a Web ou um comprometimento da cadeia de fornecimento.
“Uma vez dentro da infraestrutura visada, os invasores executaram um ataque DCSync, com o objetivo de coletar hashes de senhas de contas de serviço e de administração para expandir seu acesso”, disse a empresa em seu relatório. “Com essas credenciais, eles estabeleceram persistência e mantiveram o controle sobre a rede, concentrando-se principalmente nas contas administrativas e de desenvolvedores”.
Diz-se que os invasores conduziram metodicamente atividades de reconhecimento e pós-exploração, muitas vezes ajustando seu conjunto de ferramentas em resposta às medidas tomadas para combater a ameaça e aumentar seus privilégios com o objetivo closing de baixar e executar cargas adicionais.
Algumas das técnicas usadas para atingir seus objetivos incluem o sequestro de DLL fantasma e o uso do utilitário wmic.exe legítimo, sem mencionar o abuso de acesso a contas de serviço com privilégios de administrador para acionar a execução.
O próximo estágio é um arquivo DLL malicioso chamado TSVIPSrv.dll que é recuperado pelo protocolo SMB, após o qual a carga estabelece contato com um servidor de comando e controle (C2) codificado.
“Se o C2 codificado falhar, o implante tenta atualizar suas informações C2 raspando os usuários do GitHub usando o seguinte URL: github(.)com/search?o=desc&q=pointers&s=joined&kind=Customers&.”
“O malware analisa o HTML retornado da consulta do GitHub, procurando sequências de palavras maiúsculas separadas apenas por espaços. Ele coleta oito dessas palavras e extrai apenas as letras maiúsculas entre A e P. Esse processo gera uma string de 8 caracteres, que codifica o endereço IP do novo servidor C2 que será usado no ataque.”
O contato inicial com o servidor C2 abre caminho para traçar o perfil do sistema infectado e buscar mais malware para ser executado por meio de uma conexão de soquete.
Safety Joes disse que os atores da ameaça ficaram em silêncio por várias semanas depois que suas atividades foram detectadas, mas eventualmente retornaram com uma abordagem renovada para executar código JavaScript fortemente ofuscado presente em uma versão modificada de um arquivo XSL (“texttable.xsl”) usando o LOLBIN. wmic.exe.
“Assim que o comando WMIC.exe MEMORYCHIP GET é iniciado, ele carrega indiretamente o arquivo texttable.xsl para formatar a saída, forçando a execução do código JavaScript malicioso injetado pelo invasor”, explicaram os pesquisadores.
O JavaScript, por sua vez, serve como um downloader que usa o domínio time.qnapntp(.)com como um servidor C2 para recuperar uma carga útil subsequente que identifica a máquina e envia as informações de volta ao servidor, sujeita a certa filtragem critérios que provavelmente servem para atingir apenas as máquinas que são de interesse do ator da ameaça.
“O que realmente se destaca no código é o direcionamento deliberado de máquinas com endereços IP contendo a substring ‘10.20.22’”, disseram os pesquisadores. “
“Isso destaca quais dispositivos específicos são valiosos para o invasor, ou seja, aqueles nas sub-redes 10.20.22(0-9).(0-255). Ao correlacionar essas informações com os logs de rede e os endereços IP dos dispositivos onde o arquivo estava encontrado, concluímos que o invasor estava usando esse mecanismo de filtragem para garantir que apenas os dispositivos dentro da sub-rede VPN fossem afetados.”
