Compartilhar
A equipe do BlackBerry Research & Intelligence divulgou um novo relatório na terça-feira ligando campanhas de malware díspares ao grupo de ciberespionagem chinês APT41, observando que o grupo tem aproveitado a atividade de Cobalt Strike usando um Perfil C2 maleável sob medida que usa iscas de phishing COVID-19 para atingir as vítimas na Índia.
A equipe conseguiu vincular iscas de phishing por meio de arquivos PDF e ZIP contendo informações relacionadas à legislação tributária e estatísticas COVID-19, mascaradas como sendo de entidades governamentais indianas.
O governo dos EUA entrou com uma ação em 2020 contra cinco membros do APT41 por hackear mais de 100 empresas em todo o mundo. Autoridades americanas disseram que membros do APT41 conseguiram comprometer redes de computadores de governos estrangeiros na Índia e no Vietnã, bem como políticos e ativistas pró-democracia em Hong Kong.
O grupo APT41 é um dos mais famosos e ativos grupos de hackers patrocinados pelo estado. As operações da ATP41 foram detalhadas pela primeira vez em um relatório da FireEye publicado em agosto de 2019, com o relatório ligando o grupo a alguns dos maiores ataques à cadeia de suprimentos dos últimos anos e a hacks mais antigos ocorridos no início de 2012.
O grupo usa perfis disponíveis publicamente projetados para se parecer com tráfego de rede legítimo da Amazon, Gmail, OneDrive e outros. A BlackBerry encontrou conexões entre esta campanha e outras publicadas pela FireEye em 2020, bem como Prevailion, Subex e PTSecurity.
"A imagem que descobrimos foi a de uma campanha patrocinada pelo estado que joga com as esperanças das pessoas de um fim rápido para a pandemia como uma isca para prender suas vítimas. E, uma vez na máquina do usuário, a ameaça se mistura com a estrutura digital usando seu próprio perfil personalizado para ocultar o tráfego de rede ", disse a equipe em seu relatório.
"APT41 é um prolífico grupo de ameaças cibernéticas patrocinado pelo estado chinês que conduziu campanhas de malware relacionadas à espionagem e atividades criminosas com motivação financeira que datam de 2012. Este grupo de ameaças tem como alvo organizações em todo o mundo em muitos setores, como viagens, telecomunicações, saúde, notícias e educação. APT41 costuma usar e-mails de phishing com anexos maliciosos como um vetor de infecção inicial. Depois de obter acesso a uma organização de destino, eles normalmente implantam malware mais avançado para estabelecer uma base persistente. Este grupo usa uma variedade de diferentes famílias de malware, incluindo ladrões de informações, keyloggers e backdoors. "
Os pesquisadores disseram que descobriram o que acreditam ser uma infraestrutura APT41 adicional e iscas de phishing direcionadas às vítimas na Índia, que continham informações relacionadas à nova legislação tributária e estatísticas do COVID-19. Essas mensagens supostamente eram de entidades governamentais indianas, disse o relatório.
O objetivo do ataque era carregar e executar um Cobalt Strike Beacon na rede da vítima usando iscas e anexos de phishing.
A FireEye e outras empresas de segurança cibernética passaram anos documentando as táticas do APT41. A equipe do BlackBerry disse que encontrou um perfil C2 maleável no GitHub que se assemelha ao mencionado pela FireEye e de autoria de um pesquisador de segurança chinês com o pseudônimo '1135'.
"Esses perfis tinham várias semelhanças: ambos usavam perfis C2 jQuery Malleable e partes do bloco de perfil HTTP GET são quase idênticas. Campos de cabeçalho HTTP, como 'aceitar', 'agente do usuário', 'host' e 'referenciador', assim como o campo 'set-uri', foram todos correspondências exatas aos dados de perfil listados no blog FireEye ", explicou o relatório.
"Ao extrair e correlacionar os cabeçalhos HTTP usados nas solicitações GET e POST definidas nas configurações de Beacon, podemos gerar conexões reveladoras entre infraestruturas Cobalt Strike aparentemente díspares. Embora tenhamos identificado um número relativamente pequeno de Beacons usando o domínio BootCSS como parte de seus configuração C2 maleável, havia também alguns clusters com metadados de configuração exclusivos que nos permitiram identificar beacons adicionais relacionados ao APT41. Os beacons servidos por esses novos nós estão usando um perfil maleável diferente daqueles no cluster original que tenta fazer o Beacon o tráfego parece tráfego legítimo da Microsoft. "
Os domínios que a equipe encontrou também têm uma convenção de nomenclatura semelhante. Ao examinar a campanha, o BlackBerry descobriu um conjunto de três PDFs vinculados a domínios .microsoftdocs.workers [.] Dev voltados para vítimas na Índia. As iscas prometiam informações relacionadas às regras tributárias e aos avisos do COVID-19.
O primeiro PDF relacionado às regras fiscais contém um script PowerShell incorporado que é executado enquanto o PDF é exibido para o usuário.
"O script do PowerShell baixa e executa uma carga útil por meio de"% temp% \ conhost.exe ', que carrega um arquivo de carga útil chamado' event.dat '. Este arquivo .DAT é um Cobalt Strike Beacon. A segunda e a terceira iscas têm, cada uma, fluxos de execução e peças de componentes semelhantes; uma isca de PDF, conhost.exe e uma carga útil event. *. Nesse caso, esses arquivos de eventos tinham uma extensão .LOG, em vez de .DAT ", constatou o relatório.
"A maior diferença entre a segunda e a terceira iscas é que a primeira usa um arquivo de extração automática chamado 'Índia registra o maior COVID-19 de dia único de todos os tempos de recuperação.pdf.exe' e a segunda usa um arquivo ZIP chamado 'Registros da Índia maior recuperação de COVID-19 em um único dia .zip '. As iscas dois e três também contêm as mesmas informações em seus respectivos PDFs. Ambas estão relacionadas a um número recorde de recuperações de COVID-19 na Índia, informações que parecem ser da Índia Ministério da Saúde e Bem-Estar Familiar do Governo. "
Os pesquisadores observaram que um relatório anterior de setembro de 2020 da Subex descobriu tentativas de phishing semelhantes também direcionadas a cidadãos indianos. Esse relatório atribui o ataque ao grupo Evilnum APT, mas os pesquisadores do BlackBerry discordaram, citando uma série de razões pelas quais eles acreditam que o culpado é o APT41.
De acordo com o BlackBerry, as cargas úteis são, na verdade, Cobalt Strike Beacons, uma marca registrada do APT41, e há uma série de definições de configuração que vinculam o ataque ao APT41.
"Com os recursos de um grupo de ameaça em nível de estado-nação, é possível criar um nível verdadeiramente impressionante de diversidade em sua infraestrutura. E embora nenhum grupo de segurança tenha o mesmo nível de financiamento, reunindo nosso poder intelectual coletivo, ainda podemos descobrir os rastros que os cibercriminosos envolvidos trabalharam tanto para esconder”, acrescentaram os pesquisadores.
Fonte: zdnet.com