📰 Informação fresquinha chegando para você!
Confira agora e compartilhe com seus amigos!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Um ator de ameaças persistentes avançadas (APT) ligado à China tem como alvo infraestruturas críticas de telecomunicações na América do Sul desde 2024, visando sistemas Windows e Linux e dispositivos de ponta com três implantes diferentes.
A atividade está sendo rastreada pelo Cisco Talos sob o apelido UAT-9244, descrevendo-a como intimamente associada a outro cluster conhecido como FamousSparrow.
É importante notar que o FamousSparrow é avaliado por compartilhar sobreposições táticas com o Salt Typhoon, um grupo de espionagem do nexo chinês conhecido por ter como alvo provedores de serviços de telecomunicações. Apesar da pegada de segmentação semelhante entre o UAT-9244 e o Salt Typhoon, não há evidências conclusivas que unam os dois clusters.
Na campanha analisada pela empresa de segurança cibernética, descobriu-se que as cadeias de ataque distribuíam três implantes anteriormente não documentados: TernDoor direcionado ao Windows, PeerTime (também conhecido como Angrypeer) direcionado ao Linux e BruteEntry, que é instalado em dispositivos de borda de rede.
O método exato de acesso inicial usado nos ataques não é conhecido, embora o adversário já tenha direcionado sistemas que executam versões desatualizadas do Windows Server e do Microsoft Exchange Server para descartar web shells para atividades subsequentes.
O TernDoor é implantado por meio de carregamento lateral de DLL, aproveitando o executável legítimo "wsprint.exe" para iniciar uma DLL nociva ("BugSplatRc64.dll") que descriptografa e executa a carga final na memória. Uma variante do Crowdoor (em si uma variante do SparrowDoor), o backdoor foi colocado em uso pelo UAT-9244 desde pelo menos novembro de 2024.
Ele estabelece persistência no host por meio de uma tarefa agendada ou da chave Registry Run. Ele também apresenta diferenças com o CrowDoor ao fazer uso de um conjunto diferente de códigos de comando e incorporar um driver do Windows para suspender, retomar e encerrar processos. Além disso, ele suporta apenas uma opção de linha de comando ("-u") para desinstalar-se do host e excluir todos os artefatos associados.
Uma vez iniciado, ele executa uma verificação para garantir que foi injetado em “msiexec.exe”, após o qual decodifica uma configuração para extrair os parâmetros de comando e controle (C2). Posteriormente, ele estabelece comunicação com o servidor C2, permitindo criar processos, executar comandos arbitrários, ler/gravar arquivos, coletar informações do sistema e implantar o driver para ocultar componentes maliciosos e gerenciar processos.
Uma análise mais aprofundada da infraestrutura do UAT-9244 levou à descoberta de um backdoor Linux peer-to-peer (P2P) denominado PeerTime, que é compilado para diversas arquiteturas (ou seja, ARM, AARCH, PPC e MIPS) para infectar uma variedade de sistemas embarcados. O backdoor ELF, junto com um instrumento ou binário, é implantado por meio de um script de shell.
“O binário instrumento ou ELF verificará a presença do Docker no host comprometido usando os comandos docker e docker –q”, disseram os pesquisadores do Talos, Asheer Malhotra e Brandon White. "Se o Docker for encontrado, o carregador PeerTime será executado. O instrumentor consiste em strings de depuração em chinês simplificado, indicando que é um binário personalizado criado e implantado por agentes de ameaças que falam chinês."
O objetivo principal do carregador é descriptografar e descompactar a carga final do PeerTime e executá-la diretamente na memória. PeerTime vem em dois sabores: uma versão escrita em C/C++ e uma variante mais recente programada em Rust. Além de ter a capacidade de se renomear como um processo inofensivo para evitar a detecção, o backdoor emprega o protocolo BitTorrent para buscar informações C2, baixar arquivos de seus pares e executá-los no sistema comprometido.
Também está presente nos servidores do agente da ameaça um conjunto de scripts de shell e cargas úteis, incluindo um scanner de força bruta de codinome BruteEntry que é instalado em dispositivos de borda para transformá-los em nós proxy de varredura em massa dentro de uma Caixa de Retransmissão Operacional (ORB) capaz de forçar servidores Postgres, SSH e Tomcat.
Isso é feito por meio de um script de shell que descarta dois componentes baseados em Golang: um orquestrador que fornece BruteEntry, que então contata um servidor C2 para obter a lista de endereços IP a serem alvo de ataques de força bruta. Em última análise, o backdoor relata logins bem-sucedidos ao servidor C2.
"'Sucesso' indica se a força bruta foi bem-sucedida (verdadeiro ou falso), e 'notas' fornece informações específicas sobre se a força bruta foi bem-sucedida", disse Talos. "Se o login falhou, a nota diz 'Todas as credenciais foram tentadas'."
A atividade está sendo rastreada pelo Cisco Talos sob o apelido UAT-9244, descrevendo-a como intimamente associada a outro cluster conhecido como FamousSparrow.
É importante notar que o FamousSparrow é avaliado por compartilhar sobreposições táticas com o Salt Typhoon, um grupo de espionagem do nexo chinês conhecido por ter como alvo provedores de serviços de telecomunicações. Apesar da pegada de segmentação semelhante entre o UAT-9244 e o Salt Typhoon, não há evidências conclusivas que unam os dois clusters.
Na campanha analisada pela empresa de segurança cibernética, descobriu-se que as cadeias de ataque distribuíam três implantes anteriormente não documentados: TernDoor direcionado ao Windows, PeerTime (também conhecido como Angrypeer) direcionado ao Linux e BruteEntry, que é instalado em dispositivos de borda de rede.
O método exato de acesso inicial usado nos ataques não é conhecido, embora o adversário já tenha direcionado sistemas que executam versões desatualizadas do Windows Server e do Microsoft Exchange Server para descartar web shells para atividades subsequentes.
O TernDoor é implantado por meio de carregamento lateral de DLL, aproveitando o executável legítimo "wsprint.exe" para iniciar uma DLL nociva ("BugSplatRc64.dll") que descriptografa e executa a carga final na memória. Uma variante do Crowdoor (em si uma variante do SparrowDoor), o backdoor foi colocado em uso pelo UAT-9244 desde pelo menos novembro de 2024.
Ele estabelece persistência no host por meio de uma tarefa agendada ou da chave Registry Run. Ele também apresenta diferenças com o CrowDoor ao fazer uso de um conjunto diferente de códigos de comando e incorporar um driver do Windows para suspender, retomar e encerrar processos. Além disso, ele suporta apenas uma opção de linha de comando ("-u") para desinstalar-se do host e excluir todos os artefatos associados.
Uma vez iniciado, ele executa uma verificação para garantir que foi injetado em “msiexec.exe”, após o qual decodifica uma configuração para extrair os parâmetros de comando e controle (C2). Posteriormente, ele estabelece comunicação com o servidor C2, permitindo criar processos, executar comandos arbitrários, ler/gravar arquivos, coletar informações do sistema e implantar o driver para ocultar componentes maliciosos e gerenciar processos.
Uma análise mais aprofundada da infraestrutura do UAT-9244 levou à descoberta de um backdoor Linux peer-to-peer (P2P) denominado PeerTime, que é compilado para diversas arquiteturas (ou seja, ARM, AARCH, PPC e MIPS) para infectar uma variedade de sistemas embarcados. O backdoor ELF, junto com um instrumento ou binário, é implantado por meio de um script de shell.
“O binário instrumento ou ELF verificará a presença do Docker no host comprometido usando os comandos docker e docker –q”, disseram os pesquisadores do Talos, Asheer Malhotra e Brandon White. "Se o Docker for encontrado, o carregador PeerTime será executado. O instrumentor consiste em strings de depuração em chinês simplificado, indicando que é um binário personalizado criado e implantado por agentes de ameaças que falam chinês."
O objetivo principal do carregador é descriptografar e descompactar a carga final do PeerTime e executá-la diretamente na memória. PeerTime vem em dois sabores: uma versão escrita em C/C++ e uma variante mais recente programada em Rust. Além de ter a capacidade de se renomear como um processo inofensivo para evitar a detecção, o backdoor emprega o protocolo BitTorrent para buscar informações C2, baixar arquivos de seus pares e executá-los no sistema comprometido.
Também está presente nos servidores do agente da ameaça um conjunto de scripts de shell e cargas úteis, incluindo um scanner de força bruta de codinome BruteEntry que é instalado em dispositivos de borda para transformá-los em nós proxy de varredura em massa dentro de uma Caixa de Retransmissão Operacional (ORB) capaz de forçar servidores Postgres, SSH e Tomcat.
Isso é feito por meio de um script de shell que descarta dois componentes baseados em Golang: um orquestrador que fornece BruteEntry, que então contata um servidor C2 para obter a lista de endereços IP a serem alvo de ataques de força bruta. Em última análise, o backdoor relata logins bem-sucedidos ao servidor C2.
"'Sucesso' indica se a força bruta foi bem-sucedida (verdadeiro ou falso), e 'notas' fornece informações específicas sobre se a força bruta foi bem-sucedida", disse Talos. "Se o login falhou, a nota diz 'Todas as credenciais foram tentadas'."
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #hackers #vinculados #à #china #usam #terndoor, #peertime #e #bruteentry #em #ataques #de #telecomunicações #na #américa #do #sul
🔔 Siga-nos para não perder nenhuma atualização!
Postar um comentário