🌟 Atualização imperdível para quem gosta de estar bem informado!
Confira agora e compartilhe com seus amigos!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Pesquisadores de segurança cibernética divulgaram detalhes de um grupo de ameaças persistentes avançadas (APT) denominado Silver Dragon, que tem sido associado a ataques cibernéticos contra entidades na Europa e no Sudeste Asiático desde pelo menos meados de 2024.
“O Silver Dragon obtém seu acesso inicial explorando servidores públicos da Internet e entregando e-mails de phishing que contêm anexos maliciosos”, disse a Check Point em um relatório técnico. “Para manter a persistência, o grupo sequestra serviços legítimos do Windows, o que permite que os processos de malware se misturem à atividade normal do sistema”.
Silver Dragon é avaliado como operando dentro do guarda-chuva APT41. APT41 é o criptoônimo atribuído a um prolífico grupo de hackers chinês conhecido por ter como alvo os setores de saúde, telecomunicações, alta tecnologia, educação, serviços de viagens e mídia para espionagem cibernética já em 2012. Acredita-se também que ele se envolva em atividades com motivação financeira potencialmente fora do controle do Estado.
Descobriu-se que os ataques montados pelo Silver Dragon destacam principalmente entidades governamentais, com o adversário usando beacons Cobalt Strike para persistência em hosts comprometidos. Também é conhecido por empregar técnicas como tunelamento DNS para comunicação de comando e controle (C2) para contornar a detecção.
A Check Point disse que identificou três cadeias de infecção diferentes para entregar o Cobalt Strike: sequestro de AppDomain, DLL de serviço e phishing baseado em e-mail.
“As duas primeiras cadeias de infecção, sequestro de AppDomain e Service DLL, mostram clara sobreposição operacional”, disse a empresa de segurança cibernética. "Ambos são entregues através de arquivos compactados, sugerindo seu uso em cenários pós-exploração. Em vários casos, essas cadeias foram implantadas após o comprometimento de servidores vulneráveis expostos publicamente."
As duas cadeias fazem uso de um arquivo RAR contendo um script em lote, com a primeira cadeia utilizando-o para descartar o MonikerLoader, um carregador baseado em NET responsável por descriptografar e executar um segundo estágio diretamente na memória. O segundo estágio, por sua vez, imita o comportamento do MonikerLoader, atuando como um canal para carregar a carga final do beacon Cobalt Strike.
Por outro lado, a cadeia de DLL de serviço usa um script em lote para entregar um carregador de DLL shellcode denominado BamboLoader, que é registrado como um serviço do Windows. Um malware C++ altamente ofuscado, é usado para descriptografar e descompactar shellcode armazenado em disco e injetá-lo em um processo legítimo do Windows, como “taskhost.exe”. O binário direcionado para injeção é configurável no BamboLoader.
A terceira cadeia de infecção envolve uma campanha de phishing que tem como alvo principal o Uzbequistão com atalhos maliciosos do Windows (LNK) como anexos. O arquivo LNK transformado em arma foi projetado para iniciar o código do PowerShell por meio de “cmd.exe”, levando à extração e execução de cargas úteis do próximo estágio. Isso inclui quatro arquivos diferentes -
Documento chamariz
Executável legítimo vulnerável ao carregamento lateral de DLL ("GameHook.exe")
DLL maliciosa, também conhecida como BamboLoader ("graphics-hook-filter64.dll")
Carga útil criptografada do Cobalt Strike ("simhei.dat")
Como parte desta campanha, o documento isca é exibido para a vítima, enquanto, em segundo plano, a DLL nociva é transferida via “GameHook.exe” para finalmente iniciar o Cobalt Strike. Os ataques também são caracterizados pela utilização de diversas ferramentas pós-exploração -
SilverScreen, uma ferramenta de monitoramento de tela .NET usada para capturar capturas de tela periódicas da atividade do usuário, incluindo o posicionamento preciso do cursor.
SSHcmd, um utilitário SSH de linha de comando .NET que fornece execução remota de comandos e recursos de transferência de arquivos por SSH.
GearDoor, um backdoor NET que compartilha semelhanças com o MonikerLoader e se comunica com sua infraestrutura C2 via Google Drive.
Uma vez executado, o backdoor se autentica na conta do Google Drive controlada pelo invasor e carrega um arquivo de pulsação contendo informações básicas do sistema. Curiosamente, o backdoor utiliza diferentes extensões de arquivo para indicar a natureza da tarefa a ser executada no host infectado. Os resultados da execução da tarefa são capturados e enviados para o Drive.
*.png, para enviar arquivos de pulsação.
*.pdf, para receber e executar comandos, listar o conteúdo de um diretório, criar um novo diretório e remover todos os arquivos de um diretório especificado. Os resultados da operação são enviados ao servidor na forma de um arquivo *.db.
*.cab, para receber e executar comandos para coletar informações do host e uma lista de processos em execução, enumerar arquivos e diretórios, executar comandos via "cmd.exe" ou tarefas agendadas, fazer upload de arquivos para o Google Drive e encerrar o implante. O status de execução é carregado como um arquivo .bak.
*.rar, para receber e executar cargas úteis. Se o arquivo RAR for denominado “wiatrace.bak”, o backdoor o tratará como um pacote de atualização automática. Os resultados são carregados como arquivos .bak.
*.7z, para receber e executar
“O Silver Dragon obtém seu acesso inicial explorando servidores públicos da Internet e entregando e-mails de phishing que contêm anexos maliciosos”, disse a Check Point em um relatório técnico. “Para manter a persistência, o grupo sequestra serviços legítimos do Windows, o que permite que os processos de malware se misturem à atividade normal do sistema”.
Silver Dragon é avaliado como operando dentro do guarda-chuva APT41. APT41 é o criptoônimo atribuído a um prolífico grupo de hackers chinês conhecido por ter como alvo os setores de saúde, telecomunicações, alta tecnologia, educação, serviços de viagens e mídia para espionagem cibernética já em 2012. Acredita-se também que ele se envolva em atividades com motivação financeira potencialmente fora do controle do Estado.
Descobriu-se que os ataques montados pelo Silver Dragon destacam principalmente entidades governamentais, com o adversário usando beacons Cobalt Strike para persistência em hosts comprometidos. Também é conhecido por empregar técnicas como tunelamento DNS para comunicação de comando e controle (C2) para contornar a detecção.
A Check Point disse que identificou três cadeias de infecção diferentes para entregar o Cobalt Strike: sequestro de AppDomain, DLL de serviço e phishing baseado em e-mail.
“As duas primeiras cadeias de infecção, sequestro de AppDomain e Service DLL, mostram clara sobreposição operacional”, disse a empresa de segurança cibernética. "Ambos são entregues através de arquivos compactados, sugerindo seu uso em cenários pós-exploração. Em vários casos, essas cadeias foram implantadas após o comprometimento de servidores vulneráveis expostos publicamente."
As duas cadeias fazem uso de um arquivo RAR contendo um script em lote, com a primeira cadeia utilizando-o para descartar o MonikerLoader, um carregador baseado em NET responsável por descriptografar e executar um segundo estágio diretamente na memória. O segundo estágio, por sua vez, imita o comportamento do MonikerLoader, atuando como um canal para carregar a carga final do beacon Cobalt Strike.
Por outro lado, a cadeia de DLL de serviço usa um script em lote para entregar um carregador de DLL shellcode denominado BamboLoader, que é registrado como um serviço do Windows. Um malware C++ altamente ofuscado, é usado para descriptografar e descompactar shellcode armazenado em disco e injetá-lo em um processo legítimo do Windows, como “taskhost.exe”. O binário direcionado para injeção é configurável no BamboLoader.
A terceira cadeia de infecção envolve uma campanha de phishing que tem como alvo principal o Uzbequistão com atalhos maliciosos do Windows (LNK) como anexos. O arquivo LNK transformado em arma foi projetado para iniciar o código do PowerShell por meio de “cmd.exe”, levando à extração e execução de cargas úteis do próximo estágio. Isso inclui quatro arquivos diferentes -
Documento chamariz
Executável legítimo vulnerável ao carregamento lateral de DLL ("GameHook.exe")
DLL maliciosa, também conhecida como BamboLoader ("graphics-hook-filter64.dll")
Carga útil criptografada do Cobalt Strike ("simhei.dat")
Como parte desta campanha, o documento isca é exibido para a vítima, enquanto, em segundo plano, a DLL nociva é transferida via “GameHook.exe” para finalmente iniciar o Cobalt Strike. Os ataques também são caracterizados pela utilização de diversas ferramentas pós-exploração -
SilverScreen, uma ferramenta de monitoramento de tela .NET usada para capturar capturas de tela periódicas da atividade do usuário, incluindo o posicionamento preciso do cursor.
SSHcmd, um utilitário SSH de linha de comando .NET que fornece execução remota de comandos e recursos de transferência de arquivos por SSH.
GearDoor, um backdoor NET que compartilha semelhanças com o MonikerLoader e se comunica com sua infraestrutura C2 via Google Drive.
Uma vez executado, o backdoor se autentica na conta do Google Drive controlada pelo invasor e carrega um arquivo de pulsação contendo informações básicas do sistema. Curiosamente, o backdoor utiliza diferentes extensões de arquivo para indicar a natureza da tarefa a ser executada no host infectado. Os resultados da execução da tarefa são capturados e enviados para o Drive.
*.png, para enviar arquivos de pulsação.
*.pdf, para receber e executar comandos, listar o conteúdo de um diretório, criar um novo diretório e remover todos os arquivos de um diretório especificado. Os resultados da operação são enviados ao servidor na forma de um arquivo *.db.
*.cab, para receber e executar comandos para coletar informações do host e uma lista de processos em execução, enumerar arquivos e diretórios, executar comandos via "cmd.exe" ou tarefas agendadas, fazer upload de arquivos para o Google Drive e encerrar o implante. O status de execução é carregado como um arquivo .bak.
*.rar, para receber e executar cargas úteis. Se o arquivo RAR for denominado “wiatrace.bak”, o backdoor o tratará como um pacote de atualização automática. Os resultados são carregados como arquivos .bak.
*.7z, para receber e executar
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #silver #dragon #vinculado #ao #apt41 #tem #como #alvo #governos #usando #cobalt #strike #e #google #drive #c2
⚡ Fique ligado: novidades e promoções em breve por aqui! ⚡
Postar um comentário