Um instituto de pesquisa afiliado ao governo de Taiwan, especializado em computação e tecnologias associadas, foi invadido por agentes de ameaças de estados-nação com laços com a China, de acordo com novas descobertas do Cisco Talos.
A organização não identificada foi alvo já em meados de julho de 2023 para entregar uma variedade de backdoors e ferramentas pós-comprometimento como ShadowPad e Cobalt Strike. Ela foi atribuída com confiança média a um prolífico grupo de hackers rastreado como APT41 .
ShadowPad
“O malware ShadowPad usado na campanha atual explorou uma versão vulnerável desatualizada do binário do Microsoft Office IME como um carregador para carregar o carregador de segundo estágio personalizado para iniciar a carga”, disseram os pesquisadores de segurança Joey Chen, Ashley Shen e Vitor Ventura .
“O agente da ameaça comprometeu três hosts no ambiente visado e conseguiu extrair alguns documentos da rede.”
A Cisco Talos disse que descobriu a atividade em agosto de 2023 após detectar o que descreveu como “comandos anormais do PowerShell” que se conectavam a um endereço IP para baixar e executar scripts do PowerShell no ambiente comprometido.
O vetor de acesso inicial exato usado no ataque não é conhecido, embora tenha envolvido o uso de um shell da web para manter o acesso persistente e lançar cargas úteis adicionais como ShadowPad e Cobalt Strike, com este último entregue por meio de um carregador Cobalt Strike baseado em Go chamado CS-Avoid-Killing .
“O malware Cobalt Strike foi desenvolvido usando um carregador anti-AV para ignorar a detecção de AV e evitar a quarentena do produto de segurança”, disseram os pesquisadores.
Alternativamente, o agente da ameaça foi observado executando comandos do PowerShell para iniciar scripts responsáveis por executar o ShadowPad na memória e buscar o malware Cobalt Strike de um servidor de comando e controle (C2) comprometido. O carregador ShadowPad baseado em DLL, também chamado de ScatterBee , é executado via side-loading de DLL.
Algumas das outras etapas realizadas como parte da intrusão incluíram o uso do Mimikatz para extrair senhas e a execução de vários comandos para coletar informações sobre contas de usuários, estrutura de diretórios e configurações de rede.
“O APT41 criou um carregador personalizado para injetar uma prova de conceito para CVE-2018-0824 diretamente na memória, utilizando uma vulnerabilidade de execução remota de código para obter escalonamento de privilégios local”, disse Talos, observando que a carga final, UnmarshalPwn , é liberada após passar por três estágios diferentes.
O equipamento de segurança cibernética também destacou as tentativas do adversário de evitar a detecção interrompendo sua própria atividade ao detectar outros usuários no sistema. “Uma vez que os backdoors são implantados, o ator malicioso excluirá o shell da web e a conta de convidado que permitiram o acesso inicial”, disseram os pesquisadores.
A divulgação ocorre depois que a Alemanha revelou no início desta semana que agentes estatais chineses estavam por trás de um ataque cibernético em 2021 à agência nacional de mapeamento do país, o Escritório Federal de Cartografia e Geodésia (BKG), para fins de espionagem.
Respondendo às alegações, a embaixada da China em Berlim disse que a acusação é infundada e pediu à Alemanha “que pare com a prática de usar questões de segurança cibernética para difamar a China politicamente e na mídia”.
Fontes: The Hacker News
+Mais
Falha do Google Cloud Platform RCE permite que invasores executem código em milhões de servidores do Google
Medusa Ransomware explora falha da Fortinet para ataques sofisticados
Google revela novos recursos de segurança no Chrome para mais proteção