📰 Informação fresquinha chegando para você!
A notícia que você procurava está aqui!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Um ator de ameaça persistente avançada (APT) de língua chinesa foi vinculado a um novo backdoor personalizado chamado TinyRCT como parte de ataques cibernéticos direcionados a entidades governamentais e infraestruturas críticas no Sudeste Asiático.
A atividade, especialmente voltada para empresas estatais nos setores de energia e governo, foi atribuída a um ator de ameaça chamado CL-STA-1062, que a Unidade 42 da Palo Alto Networks disse que compartilha sobreposições com o UAT-7237, um grupo de hackers que foi sinalizado pela primeira vez pelo Cisco Talos em agosto de 2025 em relação a uma campanha dirigida contra entidades de infraestrutura da web em Taiwan.
A Unidade 42 disse que também observou campanhas CL-STA-1062 em operações anteriores dirigidas a sectores estratégicos na Ásia Oriental desde Março de 2022, sugerindo um foco mais amplo mas sustentado na região.
“Do ponto de vista técnico, os invasores por trás do CL-STA-1062 contam com um kit de ferramentas híbrido”, disse a Unidade 42 em um relatório técnico. “Embora eles frequentemente usem ferramentas comuns de código aberto, como SoftEther VPN, Mimikatz e VNT, eles introduziram recentemente o TinyRCT, um backdoor personalizado e anteriormente não documentado.”
TinyRCT está equipado para executar comandos arbitrários, enumerar arquivos e exfiltrá-los, capturar a tela do dispositivo e excluir-se do host comprometido.
Numa campanha detetada em setembro de 2025, o autor da ameaça teria infiltrado uma entidade governamental do Sudeste Asiático e implantado um web shell para exfiltrar dados de um servidor MS SQL. Durante o mesmo ataque, descobriu-se que os atores da ameaça conduziam reconhecimento de rede em uma entidade governamental separada no mesmo país.
“Isso sugere um esforço para identificar oportunidades de movimento lateral e ampliar seu acesso. Em um caso, observamos o invasor preparando e exfiltrando um diretório inteiro de código-fonte do servidor web da entidade governamental”, disse a Unidade 42, acrescentando que detectou a violação de pelo menos 10 organizações diferentes no Sudeste Asiático entre outubro e dezembro de 2025.
Desde pelo menos meados de 2025, o CL-STA-1062 treinou sua visão na infraestrutura crítica, com o adversário verificando vulnerabilidades em múltiplas entidades na região e, em seguida, estabelecendo uma posição por meio de shells da web ASPX que facilitam o reconhecimento inicial e as solicitações de saída das redes infectadas para a infraestrutura controlada pelo invasor, levando à implantação de cargas úteis adicionais.
Isso inclui componentes SoftEther VPN e arquivos RAR contendo o conjunto de ferramentas do grupo, incluindo utilitários de código aberto como Yuze (um proxy SOCKS5) e VNT (uma VPN), muitas vezes disfarçando-os como executáveis VMware ou um agente XDR (por exemplo, "XDRAgent.exe," "vmtools.exe" e "vmwared.exe").
Uma análise mais aprofundada da infraestrutura da campanha levou à descoberta de um backdoor .NET anteriormente não documentado, denominado TinyRCT ("PerfWatson2.exe"), um trojan leve de acesso remoto que permite o reconhecimento do sistema, execução de comandos, uploads de arquivos, captura de tela, controle remoto e limpeza de rastros de si mesmo, ao mesmo tempo em que toma medidas para evitar a execução em ambientes sandbox.
Ele estabelece um canal de comunicação persistente com um servidor remoto ("45.32.113[.]172") via HTTP, mas criptografa os dados trocados usando criptografia AES-128 no modo CBC.
“O malware opera em um modelo de beacon, com um intervalo de suspensão padrão de 10 segundos entre as solicitações”, explicou a Unidade 42. "Ele pesquisa o servidor C2 em busca de instruções usando solicitações GET, enquanto envia dados exfiltrados por meio de solicitações POST."
Quanto à forma como o TinyRCT é entregue, ele assume a forma de um arquivo malicioso chamado "chrome_setup.zip" contendo um executável legítimo ("chrome_setup.exe"), um arquivo de configuração ("chrome_setup.exe.config") e uma DLL não autorizada ("MyAppDomainManager.dll") que é usada para acionar um ataque de injeção de AppDomainManager para carregar a DLL maliciosa, que funciona como um downloader entrando em contato com "139.180.134[.]221" para recuperar "PerfWatson2.exe."
“A combinação de ferramentas observada neste grupo de atividades reflete uma abordagem pragmática à seleção de ferramentas e capacidades de ataque”, concluiu a Unidade 42. “Os invasores por trás deste cluster continuam a aproveitar ferramentas comuns de código aberto, como SoftEther VPN e VNT, para facilitar o movimento lateral.”
"Nossa descoberta do backdoor TinyRCT na infraestrutura dos invasores ressalta sua capacidade de personalizar ferramentas para obter recursos específicos. A combinação de direcionamento à infraestrutura crítica e o desenvolvimento de malware personalizado sugere que a atividade do CL-STA-1062 continuará a representar uma ameaça para a região."
A atividade, especialmente voltada para empresas estatais nos setores de energia e governo, foi atribuída a um ator de ameaça chamado CL-STA-1062, que a Unidade 42 da Palo Alto Networks disse que compartilha sobreposições com o UAT-7237, um grupo de hackers que foi sinalizado pela primeira vez pelo Cisco Talos em agosto de 2025 em relação a uma campanha dirigida contra entidades de infraestrutura da web em Taiwan.
A Unidade 42 disse que também observou campanhas CL-STA-1062 em operações anteriores dirigidas a sectores estratégicos na Ásia Oriental desde Março de 2022, sugerindo um foco mais amplo mas sustentado na região.
“Do ponto de vista técnico, os invasores por trás do CL-STA-1062 contam com um kit de ferramentas híbrido”, disse a Unidade 42 em um relatório técnico. “Embora eles frequentemente usem ferramentas comuns de código aberto, como SoftEther VPN, Mimikatz e VNT, eles introduziram recentemente o TinyRCT, um backdoor personalizado e anteriormente não documentado.”
TinyRCT está equipado para executar comandos arbitrários, enumerar arquivos e exfiltrá-los, capturar a tela do dispositivo e excluir-se do host comprometido.
Numa campanha detetada em setembro de 2025, o autor da ameaça teria infiltrado uma entidade governamental do Sudeste Asiático e implantado um web shell para exfiltrar dados de um servidor MS SQL. Durante o mesmo ataque, descobriu-se que os atores da ameaça conduziam reconhecimento de rede em uma entidade governamental separada no mesmo país.
“Isso sugere um esforço para identificar oportunidades de movimento lateral e ampliar seu acesso. Em um caso, observamos o invasor preparando e exfiltrando um diretório inteiro de código-fonte do servidor web da entidade governamental”, disse a Unidade 42, acrescentando que detectou a violação de pelo menos 10 organizações diferentes no Sudeste Asiático entre outubro e dezembro de 2025.
Desde pelo menos meados de 2025, o CL-STA-1062 treinou sua visão na infraestrutura crítica, com o adversário verificando vulnerabilidades em múltiplas entidades na região e, em seguida, estabelecendo uma posição por meio de shells da web ASPX que facilitam o reconhecimento inicial e as solicitações de saída das redes infectadas para a infraestrutura controlada pelo invasor, levando à implantação de cargas úteis adicionais.
Isso inclui componentes SoftEther VPN e arquivos RAR contendo o conjunto de ferramentas do grupo, incluindo utilitários de código aberto como Yuze (um proxy SOCKS5) e VNT (uma VPN), muitas vezes disfarçando-os como executáveis VMware ou um agente XDR (por exemplo, "XDRAgent.exe," "vmtools.exe" e "vmwared.exe").
Uma análise mais aprofundada da infraestrutura da campanha levou à descoberta de um backdoor .NET anteriormente não documentado, denominado TinyRCT ("PerfWatson2.exe"), um trojan leve de acesso remoto que permite o reconhecimento do sistema, execução de comandos, uploads de arquivos, captura de tela, controle remoto e limpeza de rastros de si mesmo, ao mesmo tempo em que toma medidas para evitar a execução em ambientes sandbox.
Ele estabelece um canal de comunicação persistente com um servidor remoto ("45.32.113[.]172") via HTTP, mas criptografa os dados trocados usando criptografia AES-128 no modo CBC.
“O malware opera em um modelo de beacon, com um intervalo de suspensão padrão de 10 segundos entre as solicitações”, explicou a Unidade 42. "Ele pesquisa o servidor C2 em busca de instruções usando solicitações GET, enquanto envia dados exfiltrados por meio de solicitações POST."
Quanto à forma como o TinyRCT é entregue, ele assume a forma de um arquivo malicioso chamado "chrome_setup.zip" contendo um executável legítimo ("chrome_setup.exe"), um arquivo de configuração ("chrome_setup.exe.config") e uma DLL não autorizada ("MyAppDomainManager.dll") que é usada para acionar um ataque de injeção de AppDomainManager para carregar a DLL maliciosa, que funciona como um downloader entrando em contato com "139.180.134[.]221" para recuperar "PerfWatson2.exe."
“A combinação de ferramentas observada neste grupo de atividades reflete uma abordagem pragmática à seleção de ferramentas e capacidades de ataque”, concluiu a Unidade 42. “Os invasores por trás deste cluster continuam a aproveitar ferramentas comuns de código aberto, como SoftEther VPN e VNT, para facilitar o movimento lateral.”
"Nossa descoberta do backdoor TinyRCT na infraestrutura dos invasores ressalta sua capacidade de personalizar ferramentas para obter recursos específicos. A combinação de direcionamento à infraestrutura crítica e o desenvolvimento de malware personalizado sugere que a atividade do CL-STA-1062 continuará a representar uma ameaça para a região."
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #apt #de #língua #chinesa #implanta #novo #backdoor #tinyrct #na #campanha #do #sudeste #asiático
🎉 Obrigado por acompanhar, até a próxima notícia!
Postar um comentário