Uma grande empresa de telecomunicações localizada na Ásia foi supostamente invadida por hackers patrocinados pelo estado chinês, que permaneceram dentro dos sistemas por mais de quatro anos, de acordo com um novo relatório da empresa de resposta a incidentes Sygnia.
A empresa de cibersegurança está rastreando a atividade sob o nome Weaver Ant, descrevendo o ator ameaçador como sigiloso e altamente persistente. O nome do provedor de telecomunicações não foi divulgado.
“Usando shells web e túneis, os atacantes mantiveram a persistência e facilitaram a espionagem cibernética,” disse a Sygnia. “O grupo por trás dessa intrusão […] visava obter e manter acesso contínuo aos provedores de telecomunicações e facilitar a espionagem cibernética coletando informações sensíveis.”
Oren Biderman, Líder da Equipe de Resposta a Incidentes e Forense Digital da Sygnia, disse ao The Hacker News que Weaver Ant explorou uma configuração incorreta em uma aplicação pública para obter uma posição inicial no ambiente-alvo.
A cadeia de ataques é dito ter aproveitado esse acesso para instalar duas diferentes shells web, uma variante criptografada do China Chopper e uma ferramenta maliciosa não documentada anteriormente chamada INMemory. Vale notar que o China Chopper foi usado por vários grupos de hackers chineses no passado.
INMemory, como o nome sugere, é projetado para decodificar uma string codificada em Base64 e executá-la inteiramente na memória sem gravá-la no disco, não deixando nenhum rastro forense.
“A shell web ‘INMemory’ executou o código C# contido em um arquivo executável portátil (PE) chamado ‘eval.dll’, que finalmente executa a carga útil entregue via solicitação HTTP,” disse a Sygnia.
As shells web foram encontradas atuando como uma pedra angular para entregar cargas de próxima etapa, sendo a mais notável uma ferramenta de túnel HTTP recursivo utilizada para facilitar o movimento lateral sobre SMB, uma tática anteriormente adotada por outros atores ameaçadores como Elephant Beetle.
Além disso, o tráfego criptografado que passa pelo túnel da shell web serve como um canal para realizar uma série de ações pós-exploração, incluindo –
- Patching Event Tracing for Windows (ETW) e Antimalware Scan Interface (AMSI) para contornar a detecção;
- Usando System.Management.Automation.dll para executar comandos PowerShell sem iniciar PowerShell.exe; e
- Executando comandos de reconhecimento contra o ambiente Active Directory comprometido para identificar contas de alta privilégio e servidores críticos.
A Sygnia disse que Weaver Ant exibe características típicas associadas a um grupo de espionagem cibernética com conexão chinesa, devido aos padrões de alvo e aos objetivos “bem definidos” da campanha. Essa ligação também é evidenciada pela presença da shell web China Chopper, o uso de uma rede de Caixa de Relé Operacional (ORB) composta por roteadores Zyxel para proxy de tráfego e obscurecer sua infraestrutura, os horários de trabalho dos hackers e o uso de uma porta de trás baseada no Outlook anteriormente atribuída a Emissary Panda.
“Ao longo desse período, Weaver Ant adaptou suas TTPs ao ambiente de rede em evolução, empregando métodos inovadores para recuperar o acesso e manter sua posição,” disse a empresa. “O modus operandi dos conjuntos de intrusão com conexão chinesa geralmente envolve o compartilhamento de ferramentas, infraestrutura e, ocasionalmente, mão de obra — como através de contratantes compartilhados.”
Com informações de The Hacker News.
Achou útil essa informação? Compartilhe com seus amigos!
Deixe-nos a sua opinião aqui nos comentários.
