📰 Informação fresquinha chegando para você!
Sua opinião é importante: leia e participe!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Uma suspeita operação de ciberespionagem baseada na China teve como alvo organizações militares do Sudeste Asiático como parte de uma campanha patrocinada pelo Estado que remonta pelo menos a 2020.
A Unidade 42 da Palo Alto Networks está rastreando a atividade de ameaça sob o apelido CL-STA-1087, onde CL se refere a cluster e STA significa motivação apoiada pelo estado.
“A atividade demonstrou paciência operacional estratégica e foco na coleta de inteligência altamente direcionada, em vez do roubo de dados em massa”, disseram os pesquisadores de segurança Lior Rochberger e Yoav Zemah. “Os atacantes por trás deste grupo procuraram e recolheram ativamente ficheiros altamente específicos relativos a capacidades militares, estruturas organizacionais e esforços de colaboração com as forças armadas ocidentais”.
A campanha apresenta características comumente associadas a operações avançadas de ameaças persistentes (APT), incluindo métodos de entrega cuidadosamente elaborados, estratégias de evasão de defesa, infraestrutura operacional altamente estável e implantação de carga útil personalizada projetada para suportar acesso não autorizado sustentado a sistemas comprometidos.
As ferramentas usadas pelo agente da ameaça na atividade maliciosa incluem backdoors chamados AppleChris e MemFun, e um coletor de credenciais chamado Getpass.
O fornecedor de segurança cibernética disse que detectou o conjunto de intrusão após identificar a execução suspeita do PowerShell, permitindo que o script entrasse em estado de suspensão por seis horas e, em seguida, criasse shells reversos para um servidor de comando e controle (C2) controlado pelo agente da ameaça. O vetor de acesso inicial exato usado no ataque permanece desconhecido.
A sequência de infecção envolve a implantação do AppleChris, cujas diferentes versões são descartadas nos endpoints alvo após o movimento lateral para manter a persistência e evitar a detecção baseada em assinatura. Os actores da ameaça também foram observados a realizar buscas relacionadas com registos de reuniões oficiais, actividades militares conjuntas e avaliações detalhadas das capacidades operacionais.
“Os atacantes demonstraram interesse particular em arquivos relacionados a estruturas e estratégias organizacionais militares, incluindo sistemas de comando, controle, comunicações, computadores e inteligência (C4I)”, observaram os pesquisadores.
Ambas as variantes AppleChris e MemFun são projetadas para acessar uma conta Pastebin compartilhada, que atua como um resolvedor morto para buscar o endereço C2 real armazenado no formato decodificado em Base64. Uma versão do AppleChris também depende do Dropbox para extrair as informações C2, com a abordagem baseada em Pastebin usada como opção alternativa. As pastas Pastebin datam de setembro de 2020.
Iniciado por meio de sequestro de DLL, AppleChris inicia contato com o servidor C2 para receber comandos que permitem realizar enumeração de unidades, listagem de diretórios, upload/download/exclusão de arquivos, enumeração de processos, execução remota de shell e criação silenciosa de processos.
A segunda variante do tunelizador representa uma evolução de seu antecessor, usando apenas Pastebin para obter o endereço C2, além de introduzir recursos avançados de proxy de rede.
“Para contornar os sistemas de segurança automatizados, algumas das variantes de malware empregam táticas de evasão de sandbox em tempo de execução”, disse a Unidade 42. “Essas variantes acionam a execução atrasada por meio de temporizadores de suspensão de 30 segundos (EXE) e 120 segundos (DLL), superando efetivamente as janelas típicas de monitoramento de sandboxes automatizadas.”
O MemFun é lançado por meio de uma cadeia de vários estágios: um carregador inicial injeta o shellcode responsável por lançar um downloader na memória, cujo objetivo principal é recuperar detalhes de configuração C2 do Pastebin, comunicar-se com o servidor C2 e obter uma DLL que, por sua vez, aciona a execução do backdoor.
Como a DLL é obtida do C2 em tempo de execução, ela oferece aos agentes da ameaça a capacidade de entregar facilmente outras cargas sem precisar alterar nada. Esse comportamento transforma o MemFun em uma plataforma modular de malware, em oposição a um backdoor estático como o AppleChris.
A execução do MemFun começa com um dropper que executa verificações anti-forenses antes de alterar seu próprio carimbo de data e hora de criação de arquivo para corresponder ao horário de criação do diretório do sistema Windows. Posteriormente, ele injeta a carga principal na memória de um processo suspenso associado a "dllhost.exe" usando uma técnica conhecida como esvaziamento de processo.
Ao fazer isso, o malware é executado sob o disfarce de um processo legítimo do Windows para passar despercebido e evitar deixar artefatos adicionais no disco.
Também foi usada nos ataques uma versão personalizada do Mimikatz conhecida como Getpass, que aumenta privilégios e tenta extrair senhas de texto simples, hashes NTLM e dados de autenticação diretamente da memória do processo "lsass.exe".
“O agente da ameaça por trás do cluster demonstrou paciência operacional e consciência de segurança”, concluiu a Unidade 42. “Eles mantiveram o acesso inativo por meses enquanto se concentravam na precisão
A Unidade 42 da Palo Alto Networks está rastreando a atividade de ameaça sob o apelido CL-STA-1087, onde CL se refere a cluster e STA significa motivação apoiada pelo estado.
“A atividade demonstrou paciência operacional estratégica e foco na coleta de inteligência altamente direcionada, em vez do roubo de dados em massa”, disseram os pesquisadores de segurança Lior Rochberger e Yoav Zemah. “Os atacantes por trás deste grupo procuraram e recolheram ativamente ficheiros altamente específicos relativos a capacidades militares, estruturas organizacionais e esforços de colaboração com as forças armadas ocidentais”.
A campanha apresenta características comumente associadas a operações avançadas de ameaças persistentes (APT), incluindo métodos de entrega cuidadosamente elaborados, estratégias de evasão de defesa, infraestrutura operacional altamente estável e implantação de carga útil personalizada projetada para suportar acesso não autorizado sustentado a sistemas comprometidos.
As ferramentas usadas pelo agente da ameaça na atividade maliciosa incluem backdoors chamados AppleChris e MemFun, e um coletor de credenciais chamado Getpass.
O fornecedor de segurança cibernética disse que detectou o conjunto de intrusão após identificar a execução suspeita do PowerShell, permitindo que o script entrasse em estado de suspensão por seis horas e, em seguida, criasse shells reversos para um servidor de comando e controle (C2) controlado pelo agente da ameaça. O vetor de acesso inicial exato usado no ataque permanece desconhecido.
A sequência de infecção envolve a implantação do AppleChris, cujas diferentes versões são descartadas nos endpoints alvo após o movimento lateral para manter a persistência e evitar a detecção baseada em assinatura. Os actores da ameaça também foram observados a realizar buscas relacionadas com registos de reuniões oficiais, actividades militares conjuntas e avaliações detalhadas das capacidades operacionais.
“Os atacantes demonstraram interesse particular em arquivos relacionados a estruturas e estratégias organizacionais militares, incluindo sistemas de comando, controle, comunicações, computadores e inteligência (C4I)”, observaram os pesquisadores.
Ambas as variantes AppleChris e MemFun são projetadas para acessar uma conta Pastebin compartilhada, que atua como um resolvedor morto para buscar o endereço C2 real armazenado no formato decodificado em Base64. Uma versão do AppleChris também depende do Dropbox para extrair as informações C2, com a abordagem baseada em Pastebin usada como opção alternativa. As pastas Pastebin datam de setembro de 2020.
Iniciado por meio de sequestro de DLL, AppleChris inicia contato com o servidor C2 para receber comandos que permitem realizar enumeração de unidades, listagem de diretórios, upload/download/exclusão de arquivos, enumeração de processos, execução remota de shell e criação silenciosa de processos.
A segunda variante do tunelizador representa uma evolução de seu antecessor, usando apenas Pastebin para obter o endereço C2, além de introduzir recursos avançados de proxy de rede.
“Para contornar os sistemas de segurança automatizados, algumas das variantes de malware empregam táticas de evasão de sandbox em tempo de execução”, disse a Unidade 42. “Essas variantes acionam a execução atrasada por meio de temporizadores de suspensão de 30 segundos (EXE) e 120 segundos (DLL), superando efetivamente as janelas típicas de monitoramento de sandboxes automatizadas.”
O MemFun é lançado por meio de uma cadeia de vários estágios: um carregador inicial injeta o shellcode responsável por lançar um downloader na memória, cujo objetivo principal é recuperar detalhes de configuração C2 do Pastebin, comunicar-se com o servidor C2 e obter uma DLL que, por sua vez, aciona a execução do backdoor.
Como a DLL é obtida do C2 em tempo de execução, ela oferece aos agentes da ameaça a capacidade de entregar facilmente outras cargas sem precisar alterar nada. Esse comportamento transforma o MemFun em uma plataforma modular de malware, em oposição a um backdoor estático como o AppleChris.
A execução do MemFun começa com um dropper que executa verificações anti-forenses antes de alterar seu próprio carimbo de data e hora de criação de arquivo para corresponder ao horário de criação do diretório do sistema Windows. Posteriormente, ele injeta a carga principal na memória de um processo suspenso associado a "dllhost.exe" usando uma técnica conhecida como esvaziamento de processo.
Ao fazer isso, o malware é executado sob o disfarce de um processo legítimo do Windows para passar despercebido e evitar deixar artefatos adicionais no disco.
Também foi usada nos ataques uma versão personalizada do Mimikatz conhecida como Getpass, que aumenta privilégios e tenta extrair senhas de texto simples, hashes NTLM e dados de autenticação diretamente da memória do processo "lsass.exe".
“O agente da ameaça por trás do cluster demonstrou paciência operacional e consciência de segurança”, concluiu a Unidade 42. “Eles mantiveram o acesso inativo por meses enquanto se concentravam na precisão
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #hackers #chineses #visam #militares #do #sudeste #asiático #com #malware #applechris #e #memfun
⚡ Fique ligado: novidades e promoções em breve por aqui! ⚡
Postar um comentário