Pesquisadores alertam sobre hackers alinhados à China visando países do Mar da China Meridional
Pesquisadores de segurança cibernética divulgaram detalhes de um grupo de ameaças anteriormente não documentado chamado Névoa do mar imperecível que se acredita estar ativo desde 2018.
A intrusão destacou organizações de alto nível nos países do Mar da China Meridional, particularmente alvos militares e governamentais, disse a Bitdefender num relatório partilhado com o The Hacker Information.
“A investigação revelou uma tendência preocupante além do contexto histórico”, disse Martin Zugec, diretor de soluções técnicas da Bitdefender, acrescentando que identificou um whole de oito vítimas até o momento.
“Notavelmente, os invasores recuperaram repetidamente o acesso aos sistemas comprometidos. Esta exploração destaca uma vulnerabilidade crítica: falta de higiene de credenciais e práticas inadequadas de patches em dispositivos e serviços internet expostos”.
Existem algumas indicações de que o autor da ameaça por trás dos ataques está a operar com objetivos alinhados com os interesses chineses, apesar do facto de as assinaturas dos ataques não se sobreporem às de qualquer equipa de hackers conhecida.
Isto inclui a pegada da vitimologia, com países como as Filipinas e outras organizações no Pacífico Sul anteriormente alvo do ator Mustang Panda, ligado à China.
Também são usadas nos ataques várias iterações do malware Gh0st RAT, um trojan comum conhecido por ser usado por agentes de ameaças que falam chinês.
“Uma técnica específica empregada pelo Unfading Sea Haze – executar código JScript por meio de uma ferramenta chamada SharpJSHandler – lembrava um recurso encontrado no backdoor ‘FunnySwitch’, que foi vinculado ao APT41”, disse Bitdefender. “Ambos envolvem o carregamento de assemblies .NET e a execução de código JScript. No entanto, esta foi uma semelhança isolada.”
O caminho de acesso inicial exato usado para se infiltrar nos alvos é atualmente conhecido, embora, em uma reviravolta interessante, Unfading Sea Haze tenha sido observado recuperando acesso às mesmas entidades por meio de e-mails de spear-phishing contendo arquivos com armadilhas.
Esses arquivos compactados vêm equipados com arquivos de atalho do Home windows (LNK) que, quando iniciados, desencadeiam o processo de infecção executando um comando projetado para recuperar a carga útil do próximo estágio de um servidor remoto. Essa carga útil é um backdoor chamado SerialPktdoor, projetado para executar scripts do PowerShell, enumerar diretores, baixar/carregar arquivos e excluir arquivos.
Além do mais, o comando aproveita o Microsoft Construct Engine (MSBuild) para executar sem arquivo um arquivo localizado em um native remoto, não deixando rastros no host da vítima e diminuindo as probabilities de detecção.
As cadeias de ataque são caracterizadas pelo uso de tarefas agendadas como forma de estabelecer persistência, com os nomes das tarefas representando arquivos legítimos do Home windows que são empregados para executar um executável inofensivo que é suscetível ao carregamento lateral de DLL para carregar uma DLL maliciosa.
“Além de usar tarefas agendadas, o invasor empregou outra técnica de persistência: manipular contas de administradores locais”, disse a empresa romena de segurança cibernética. “Isso envolveu tentativas de habilitar a conta de administrador native desativada, seguida de redefinição de sua senha.”
Pelo menos desde setembro de 2022, Unfading Sea Haze é conhecido por incorporar ferramentas de monitoramento e gerenciamento remoto (RMM) disponíveis comercialmente, como o ITarian RMM, para ganhar uma posição nas redes de vítimas, uma tática não comumente observada entre atores do estado-nação, exceto o grupo iraniano MuddyWater .
A sofisticação do adversário é evidenciada por uma ampla variedade de ferramentas personalizadas em seu arsenal, que inclui variantes do Gh0st RAT, como SilentGh0st e seu sucessor evolutivo InsidiousGh0st (que vem nas versões C++, C# e Go), TranslucentGh0st, FluffyGh0st e EtherealGh0st, os três últimos são modulares e adotam uma abordagem baseada em plugins.
Também é usado um carregador conhecido como Ps2dllLoader que pode ignorar a Antimalware Scan Interface (AMSI) e atua como um canal para entregar o SharpJSHandler, que opera ouvindo solicitações HTTP e executa o código JavaScript codificado usando a biblioteca Microsoft.JScript.
A Bitdefender disse que descobriu mais dois sabores de SharpJSHandler que são capazes de recuperar e executar uma carga útil de serviços de armazenamento em nuvem como Dropbox e Microsoft OneDrive, e exportar os resultados de volta para o mesmo native.
Ps2dllLoader também contém outro backdoor de codinome Stubbedoor que é responsável por iniciar um meeting .NET criptografado recebido de um servidor de comando e controle (C2).
Outros artefatos implantados durante os ataques incluem um keylogger chamado xkeylog, um ladrão de dados de navegador da internet, uma ferramenta para monitorar a presença de dispositivos portáteis e um programa personalizado de exfiltração de dados chamado DustyExfilTool que foi usado entre março de 2018 e janeiro de 2022. .
Isso não é tudo. Presente entre o complexo arsenal de agentes e ferramentas maliciosos usados pelo Unfading Sea Haze está um terceiro backdoor conhecido como SharpZulip, que utiliza a API do serviço de mensagens Zulip para buscar comandos para execução de um fluxo chamado “NDFUIBNFWDNSA”. No Zulip, os streams (agora chamados de canais) são análogos aos canais do Discord e Slack.
Há evidências que sugerem que a exfiltração de dados é realizada manualmente pelo autor da ameaça, a fim de capturar informações de interesse, incluindo dados de aplicativos de mensagens como Telegram e Viber, e empacotá-los na forma de um arquivo protegido por senha.
“Essa combinação de ferramentas personalizadas e prontas para uso, juntamente com a extração guide de dados, pinta o quadro de uma campanha de espionagem direcionada, focada na aquisição de informações confidenciais de sistemas comprometidos”, destacou Zugec.
“Seu arsenal de malware personalizado, incluindo a família Gh0st RAT e Ps2dllLoader, apresenta foco em flexibilidade e técnicas de evasão. A mudança observada em direção à modularidade, elementos dinâmicos e execução na memória destaca seus esforços para contornar as medidas de segurança tradicionais.”
