📰 Informação fresquinha chegando para você!
Confira agora e compartilhe com seus amigos!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Os atores de ameaças afiliados à China foram atribuídos a um novo conjunto de campanhas de espionagem cibernética dirigidas ao governo e às agências policiais em todo o Sudeste Asiático ao longo de 2025.
A Check Point Research está rastreando o cluster de atividades anteriormente não documentado sob o apelido de Amaranth-Dragon, que, segundo ela, compartilha links com o ecossistema APT 41. Os países-alvo incluem Camboja, Tailândia, Laos, Indonésia, Singapura e Filipinas.
“Muitas das campanhas foram programadas para coincidir com desenvolvimentos políticos locais sensíveis, decisões oficiais do governo ou eventos de segurança regional”, disse a empresa de segurança cibernética em um relatório compartilhado com o The Hacker News. “Ao ancorar atividades maliciosas em contextos familiares e oportunos, os invasores aumentaram significativamente a probabilidade de os alvos interagirem com o conteúdo”.
A empresa israelense acrescentou que os ataques foram “estreitamente focados” e “de escopo restrito”, indicando esforços por parte dos atores da ameaça para estabelecer persistência de longo prazo para a coleta de inteligência geopolítica.
O aspecto mais notável da habilidade dos actores de ameaças é o elevado grau de furtividade, com as campanhas "altamente controladas" e a infra-estrutura de ataque configurada de modo a poder interagir apenas com vítimas em países-alvo específicos, numa tentativa de minimizar a exposição.
Descobriu-se que as cadeias de ataque montadas pelo adversário abusam do CVE-2025-8088, uma falha de segurança agora corrigida que afeta o RARLAB WinRAR, que permite a execução arbitrária de código quando arquivos especialmente criados são abertos pelos alvos. A exploração da vulnerabilidade foi observada cerca de oito dias após a sua divulgação pública em agosto.
""O grupo distribuiu um arquivo RAR malicioso que explora a vulnerabilidade CVE-2025-8088, permitindo a execução de código arbitrário e mantendo a persistência na máquina comprometida", observaram os pesquisadores da Check Point. "A velocidade e confiança com que esta vulnerabilidade foi operacionalizada ressalta a maturidade técnica e a preparação do grupo."
Embora o vector de acesso inicial exacto permaneça desconhecido nesta fase, a natureza altamente direccionada das campanhas, juntamente com a utilização de iscas personalizadas relacionadas com desenvolvimentos políticos, económicos ou militares na região, sugere a utilização de e-mails de spear-phishing para distribuir os ficheiros hospedados em plataformas de nuvem bem conhecidas, como o Dropbox, para diminuir as suspeitas e contornar as defesas de perímetro tradicionais.
O arquivo contém vários arquivos, incluindo uma DLL maliciosa chamada Amaranth Loader, que é iniciada por meio de carregamento lateral de DLL, outra tática preferida entre os agentes de ameaças chineses. O carregador compartilha semelhanças com ferramentas como DodgeBox, DUSTPAN (também conhecido como StealthVector) e DUSTTRAP, que foram previamente identificadas como usadas pela equipe de hackers APt41.
Uma vez executado, o carregador é projetado para entrar em contato com um servidor externo para recuperar uma chave de criptografia, que é então usada para descriptografar uma carga criptografada recuperada de uma URL diferente e executá-la diretamente na memória. A carga final implantada como parte do ataque é a estrutura de comando e controle de código aberto (C2 ou C&C) conhecida como Havoc.
Em contraste, as primeiras iterações da campanha detectadas em março de 2025 usaram arquivos ZIP contendo atalhos do Windows (LNK) e lote (BAT) para descriptografar e executar o Amaranth Loader usando carregamento lateral de DLL. Uma sequência de ataque semelhante também foi identificada numa campanha no final de outubro de 2025, utilizando iscas relacionadas com a Guarda Costeira das Filipinas.
Em outra campanha direcionada à Indonésia no início de setembro de 2025, os atores da ameaça optaram por distribuir um arquivo RAR protegido por senha do Dropbox para fornecer um trojan de acesso remoto (RAT) totalmente funcional com o codinome TGAmaranth RAT em vez do Amaranth Loader que utiliza um bot Telegram codificado para C2.
Além de implementar técnicas antidepuração e antivírus para resistir à análise e detecção, o RAT suporta os seguintes comandos -
/start, para enviar uma lista de processos em execução da máquina infectada para o bot
/screenshot, para capturar e enviar uma captura de tela
/shell, para executar um comando especificado na máquina infectada e exfiltrar a saída
/download, para baixar um arquivo especificado da máquina infectada
/upload, para enviar um arquivo para a máquina infectada
Além do mais, a infraestrutura C2 é protegida pela Cloudflare e configurada para aceitar tráfego apenas de endereços IP dentro do país ou países específicos alvo de cada operação. A atividade também exemplifica como os agentes de ameaças sofisticados utilizam infraestruturas legítimas e confiáveis para executar ataques direcionados, permanecendo operacionais clandestinamente.
Os links do Amaranth-Dragon para o APT41 resultam de sobreposições no arsenal de malware, aludindo a uma possível conexão ou recursos compartilhados entre os dois clusters. Vale a pena
A Check Point Research está rastreando o cluster de atividades anteriormente não documentado sob o apelido de Amaranth-Dragon, que, segundo ela, compartilha links com o ecossistema APT 41. Os países-alvo incluem Camboja, Tailândia, Laos, Indonésia, Singapura e Filipinas.
“Muitas das campanhas foram programadas para coincidir com desenvolvimentos políticos locais sensíveis, decisões oficiais do governo ou eventos de segurança regional”, disse a empresa de segurança cibernética em um relatório compartilhado com o The Hacker News. “Ao ancorar atividades maliciosas em contextos familiares e oportunos, os invasores aumentaram significativamente a probabilidade de os alvos interagirem com o conteúdo”.
A empresa israelense acrescentou que os ataques foram “estreitamente focados” e “de escopo restrito”, indicando esforços por parte dos atores da ameaça para estabelecer persistência de longo prazo para a coleta de inteligência geopolítica.
O aspecto mais notável da habilidade dos actores de ameaças é o elevado grau de furtividade, com as campanhas "altamente controladas" e a infra-estrutura de ataque configurada de modo a poder interagir apenas com vítimas em países-alvo específicos, numa tentativa de minimizar a exposição.
Descobriu-se que as cadeias de ataque montadas pelo adversário abusam do CVE-2025-8088, uma falha de segurança agora corrigida que afeta o RARLAB WinRAR, que permite a execução arbitrária de código quando arquivos especialmente criados são abertos pelos alvos. A exploração da vulnerabilidade foi observada cerca de oito dias após a sua divulgação pública em agosto.
""O grupo distribuiu um arquivo RAR malicioso que explora a vulnerabilidade CVE-2025-8088, permitindo a execução de código arbitrário e mantendo a persistência na máquina comprometida", observaram os pesquisadores da Check Point. "A velocidade e confiança com que esta vulnerabilidade foi operacionalizada ressalta a maturidade técnica e a preparação do grupo."
Embora o vector de acesso inicial exacto permaneça desconhecido nesta fase, a natureza altamente direccionada das campanhas, juntamente com a utilização de iscas personalizadas relacionadas com desenvolvimentos políticos, económicos ou militares na região, sugere a utilização de e-mails de spear-phishing para distribuir os ficheiros hospedados em plataformas de nuvem bem conhecidas, como o Dropbox, para diminuir as suspeitas e contornar as defesas de perímetro tradicionais.
O arquivo contém vários arquivos, incluindo uma DLL maliciosa chamada Amaranth Loader, que é iniciada por meio de carregamento lateral de DLL, outra tática preferida entre os agentes de ameaças chineses. O carregador compartilha semelhanças com ferramentas como DodgeBox, DUSTPAN (também conhecido como StealthVector) e DUSTTRAP, que foram previamente identificadas como usadas pela equipe de hackers APt41.
Uma vez executado, o carregador é projetado para entrar em contato com um servidor externo para recuperar uma chave de criptografia, que é então usada para descriptografar uma carga criptografada recuperada de uma URL diferente e executá-la diretamente na memória. A carga final implantada como parte do ataque é a estrutura de comando e controle de código aberto (C2 ou C&C) conhecida como Havoc.
Em contraste, as primeiras iterações da campanha detectadas em março de 2025 usaram arquivos ZIP contendo atalhos do Windows (LNK) e lote (BAT) para descriptografar e executar o Amaranth Loader usando carregamento lateral de DLL. Uma sequência de ataque semelhante também foi identificada numa campanha no final de outubro de 2025, utilizando iscas relacionadas com a Guarda Costeira das Filipinas.
Em outra campanha direcionada à Indonésia no início de setembro de 2025, os atores da ameaça optaram por distribuir um arquivo RAR protegido por senha do Dropbox para fornecer um trojan de acesso remoto (RAT) totalmente funcional com o codinome TGAmaranth RAT em vez do Amaranth Loader que utiliza um bot Telegram codificado para C2.
Além de implementar técnicas antidepuração e antivírus para resistir à análise e detecção, o RAT suporta os seguintes comandos -
/start, para enviar uma lista de processos em execução da máquina infectada para o bot
/screenshot, para capturar e enviar uma captura de tela
/shell, para executar um comando especificado na máquina infectada e exfiltrar a saída
/download, para baixar um arquivo especificado da máquina infectada
/upload, para enviar um arquivo para a máquina infectada
Além do mais, a infraestrutura C2 é protegida pela Cloudflare e configurada para aceitar tráfego apenas de endereços IP dentro do país ou países específicos alvo de cada operação. A atividade também exemplifica como os agentes de ameaças sofisticados utilizam infraestruturas legítimas e confiáveis para executar ataques direcionados, permanecendo operacionais clandestinamente.
Os links do Amaranth-Dragon para o APT41 resultam de sobreposições no arsenal de malware, aludindo a uma possível conexão ou recursos compartilhados entre os dois clusters. Vale a pena
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #amaranthdragon, #ligado #à #china, #explora #falha #do #winrar #em #campanhas #de #espionagem
⚡ Fique ligado: novidades e promoções em breve por aqui! ⚡
Postar um comentário