🚨 NOVA NOTÍCIA EM DESTAQUE! 🚨
Sua opinião é importante: leia e participe!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Investigadores de segurança cibernética divulgaram detalhes de uma nova campanha de espionagem alinhada com a China, visando sectores governamentais e de defesa em todo o Sul, Leste e Sudeste Asiático, juntamente com um governo europeu pertencente à OTAN.
A Trend Micro atribuiu a atividade a um cluster de atividades de ameaças que ela rastreia sob a designação temporária SHADOW-EARTH-053. O coletivo adversário é avaliado como ativo desde pelo menos dezembro de 2024, embora compartilhe algum nível de sobreposição de rede com CL-STA-0049, Earth Alux e REF7707.
“O grupo explora vulnerabilidades de N dias em servidores Microsoft Exchange e Internet Information Services (IIS) (por exemplo, cadeia ProxyLogon), depois implanta shells da web (Godzilla) para acesso persistente e prepara implantes ShadowPad por meio de carregamento lateral de DLL de executáveis legítimos assinados”, disseram os pesquisadores de segurança Daniel Lunghi e Lucas Silva em uma análise.
Os alvos das campanhas incluem Paquistão, Tailândia, Malásia, Índia, Mianmar, Sri Lanka e Taiwan. O único país europeu que aparece na pegada vitimológica do ator ameaçador é a Polónia.
O fornecedor de segurança cibernética disse ter observado quase metade dos alvos SHADOW-EARTH-053, particularmente aqueles na Malásia, Sri Lanka e Mianmar, também comprometidos anteriormente por um conjunto de intrusão relacionado denominado SHADOW-EARTH-054, embora nenhuma evidência de coordenação operacional direta tenha sido observada.
O ponto de partida dos ataques é a exploração de falhas de segurança conhecidas para violar sistemas não corrigidos e descartar shells da web como o Godzilla para facilitar o acesso remoto persistente. Os web shells funcionam como um veículo de entrega para execução de comandos, permitindo o reconhecimento e, em última análise, resultando na implantação do backdoor ShadowPad via AnyDesk. O malware é iniciado usando carregamento lateral de DLL.
Em pelo menos um caso, diz-se que a transformação do React2Shell em arma (CVE-2025-55182) facilitou a distribuição de uma versão Linux do Noodle RAT (também conhecido como ANGRYREBEL e Nood RAT). Vale a pena mencionar aqui que o Google Threat Intelligence Group (GTIG) vinculou esta cadeia de ataque a um grupo conhecido como UNC6595.
Também são utilizadas ferramentas de tunelamento de código aberto, como IOX, GO Simple Tunnel (GOST) e Wstunnel, bem como RingQ para empacotar binários maliciosos e evitar a detecção. Para facilitar o escalonamento de privilégios, descobriu-se que SHADOW-EARTH-053 usa Mimikatz, enquanto o movimento lateral é realizado usando um iniciador de protocolo de área de trabalho remota (RDP) personalizado e implementação C# de SMBExec conhecido como Sharp-SMBExec.
“O principal vetor de entrada usado nesta campanha foram vulnerabilidades em aplicativos IIS voltados para a Internet”, disse a Trend Micro. “As organizações devem priorizar a aplicação das atualizações de segurança e patches cumulativos mais recentes ao Microsoft Exchange e a quaisquer aplicativos web hospedados no IIS.”
"Em cenários onde a correção imediata não é viável, recomendamos fortemente a implantação de Sistemas de Prevenção de Intrusões (IPS) ou Firewalls de Aplicativos Web (WAF) com conjuntos de regras especificamente ajustados para bloquear tentativas de exploração contra esses CVEs (Virtual Patching) conhecidos."
GLITTER CARP e SEQUIN CARP vão atrás de ativistas e jornalistas
A divulgação ocorre no momento em que o Citizen Lab sinaliza uma nova campanha de phishing realizada por dois atores de ameaças distintos afiliados à China, visando e se fazendo passar por jornalistas e pela sociedade civil, incluindo ativistas da diáspora uigures, tibetanos, taiwaneses e de Hong Kong. As campanhas abrangentes foram detectadas pela primeira vez em abril e junho de 2025, respectivamente.
Os grupos receberam o codinome GLITTER CARP, que destacou o Consórcio Internacional de Jornalistas Investigativos (ICIJ), e SEQUIN CARP, cujo principal alvo era a jornalista do ICIJ Scilla Alecci e outros jornalistas internacionais que escreviam sobre temas de interesse crítico para o governo chinês.
“O ator emprega esquemas bem pensados de falsificação de identidade digital em e-mails de phishing, incluindo falsificação de identidade de indivíduos conhecidos e alertas de segurança de empresas de tecnologia”, disse o Citizen Lab. “Embora os grupos-alvo variem, esta atividade emprega a mesma infraestrutura e táticas em todos os casos, reutilizando frequentemente os mesmos domínios e os mesmos indivíduos personificados em vários alvos”.
O GLITTER CARP, além de conduzir ataques de phishing em larga escala, está vinculado a campanhas de phishing direcionadas à indústria de semicondutores de Taiwan. Alguns aspectos desses esforços foram documentados anteriormente pela Proofpoint em julho de 2025 sob o nome UNK_SparkyCarp. O SEQUIN CARP, por outro lado, compartilha semelhanças com um grupo rastreado pela Volexity como UTA0388 e um conjunto de intrusão detalhado pela Trend Micro como TAOTH.
O objetivo final das campanhas é obter acesso inicial a contas baseadas em e-mail por meio de coleta de credenciais, páginas de phishing ou engenharia social do alvo para conceder acesso a um token OAuth de terceiros. BRILHO C
A Trend Micro atribuiu a atividade a um cluster de atividades de ameaças que ela rastreia sob a designação temporária SHADOW-EARTH-053. O coletivo adversário é avaliado como ativo desde pelo menos dezembro de 2024, embora compartilhe algum nível de sobreposição de rede com CL-STA-0049, Earth Alux e REF7707.
“O grupo explora vulnerabilidades de N dias em servidores Microsoft Exchange e Internet Information Services (IIS) (por exemplo, cadeia ProxyLogon), depois implanta shells da web (Godzilla) para acesso persistente e prepara implantes ShadowPad por meio de carregamento lateral de DLL de executáveis legítimos assinados”, disseram os pesquisadores de segurança Daniel Lunghi e Lucas Silva em uma análise.
Os alvos das campanhas incluem Paquistão, Tailândia, Malásia, Índia, Mianmar, Sri Lanka e Taiwan. O único país europeu que aparece na pegada vitimológica do ator ameaçador é a Polónia.
O fornecedor de segurança cibernética disse ter observado quase metade dos alvos SHADOW-EARTH-053, particularmente aqueles na Malásia, Sri Lanka e Mianmar, também comprometidos anteriormente por um conjunto de intrusão relacionado denominado SHADOW-EARTH-054, embora nenhuma evidência de coordenação operacional direta tenha sido observada.
O ponto de partida dos ataques é a exploração de falhas de segurança conhecidas para violar sistemas não corrigidos e descartar shells da web como o Godzilla para facilitar o acesso remoto persistente. Os web shells funcionam como um veículo de entrega para execução de comandos, permitindo o reconhecimento e, em última análise, resultando na implantação do backdoor ShadowPad via AnyDesk. O malware é iniciado usando carregamento lateral de DLL.
Em pelo menos um caso, diz-se que a transformação do React2Shell em arma (CVE-2025-55182) facilitou a distribuição de uma versão Linux do Noodle RAT (também conhecido como ANGRYREBEL e Nood RAT). Vale a pena mencionar aqui que o Google Threat Intelligence Group (GTIG) vinculou esta cadeia de ataque a um grupo conhecido como UNC6595.
Também são utilizadas ferramentas de tunelamento de código aberto, como IOX, GO Simple Tunnel (GOST) e Wstunnel, bem como RingQ para empacotar binários maliciosos e evitar a detecção. Para facilitar o escalonamento de privilégios, descobriu-se que SHADOW-EARTH-053 usa Mimikatz, enquanto o movimento lateral é realizado usando um iniciador de protocolo de área de trabalho remota (RDP) personalizado e implementação C# de SMBExec conhecido como Sharp-SMBExec.
“O principal vetor de entrada usado nesta campanha foram vulnerabilidades em aplicativos IIS voltados para a Internet”, disse a Trend Micro. “As organizações devem priorizar a aplicação das atualizações de segurança e patches cumulativos mais recentes ao Microsoft Exchange e a quaisquer aplicativos web hospedados no IIS.”
"Em cenários onde a correção imediata não é viável, recomendamos fortemente a implantação de Sistemas de Prevenção de Intrusões (IPS) ou Firewalls de Aplicativos Web (WAF) com conjuntos de regras especificamente ajustados para bloquear tentativas de exploração contra esses CVEs (Virtual Patching) conhecidos."
GLITTER CARP e SEQUIN CARP vão atrás de ativistas e jornalistas
A divulgação ocorre no momento em que o Citizen Lab sinaliza uma nova campanha de phishing realizada por dois atores de ameaças distintos afiliados à China, visando e se fazendo passar por jornalistas e pela sociedade civil, incluindo ativistas da diáspora uigures, tibetanos, taiwaneses e de Hong Kong. As campanhas abrangentes foram detectadas pela primeira vez em abril e junho de 2025, respectivamente.
Os grupos receberam o codinome GLITTER CARP, que destacou o Consórcio Internacional de Jornalistas Investigativos (ICIJ), e SEQUIN CARP, cujo principal alvo era a jornalista do ICIJ Scilla Alecci e outros jornalistas internacionais que escreviam sobre temas de interesse crítico para o governo chinês.
“O ator emprega esquemas bem pensados de falsificação de identidade digital em e-mails de phishing, incluindo falsificação de identidade de indivíduos conhecidos e alertas de segurança de empresas de tecnologia”, disse o Citizen Lab. “Embora os grupos-alvo variem, esta atividade emprega a mesma infraestrutura e táticas em todos os casos, reutilizando frequentemente os mesmos domínios e os mesmos indivíduos personificados em vários alvos”.
O GLITTER CARP, além de conduzir ataques de phishing em larga escala, está vinculado a campanhas de phishing direcionadas à indústria de semicondutores de Taiwan. Alguns aspectos desses esforços foram documentados anteriormente pela Proofpoint em julho de 2025 sob o nome UNK_SparkyCarp. O SEQUIN CARP, por outro lado, compartilha semelhanças com um grupo rastreado pela Volexity como UTA0388 e um conjunto de intrusão detalhado pela Trend Micro como TAOTH.
O objetivo final das campanhas é obter acesso inicial a contas baseadas em e-mail por meio de coleta de credenciais, páginas de phishing ou engenharia social do alvo para conceder acesso a um token OAuth de terceiros. BRILHO C
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #hackers #ligados #à #china #têm #como #alvo #governos #asiáticos, #estados #da #otan, #jornalistas #e #ativistas
💡 Compartilhe e ajude nosso projeto a crescer!
Postar um comentário