🚨 NOVA NOTÍCIA EM DESTAQUE! 🚨
Sua opinião é importante: leia e participe!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Uma nova campanha de espionagem cibernética com o codinome Operação Dragon Weave foi observada visando autoridades e cidadãos na República Tcheca e em Taiwan para entregar um agente AdaptixC2.
De acordo com o Seqrite Labs, os alvos da campanha incluem os setores governamental, de pesquisa, acadêmico, tecnológico e de serviços financeiros. A atividade envolve a distribuição de e-mails de spear-phishing contendo anexos ZIP para acionar uma cadeia de infecção que usa um carregador Rust para descartar a carga final para exfiltração de dados e controle remoto.
“Quando extraído, o arquivo contém vários arquivos que parecem legítimos, mas na verdade fazem parte de uma cadeia de infecção estruturada projetada para executar cargas maliciosas em segundo plano”, disse a pesquisadora de segurança Priya Patel.
A cadeia de ataque usa dois caminhos diferentes para lançar o malware em estágio final. Uma sequência de infecção começa quando o destinatário do arquivo ZIP abre um arquivo malicioso do Windows Shortcut (LNK) que se disfarça como um documento PDF. Isso leva à execução de um script do PowerShell responsável por extrair um executável ("RuntimeBroker_update.exe") de um arquivo DAT intermediário e executá-lo.
Na segunda cadeia de ataque, a vítima lança diretamente um binário do mesmo arquivo. O binário funciona como um conta-gotas independente baseado em Rust para iniciar "RuntimeBroker_update.exe". Independentemente do caminho escolhido, o executável carrega uma DLL maliciosa ("UnityPlayer.dll") por meio de carregamento lateral de DLL, resultando na implantação de um carregador baseado em Rust chamado RUSTCLOAK.
O carregador então descriptografa e executa a carga principal, um agente AdaptixC2 de codinome AZUREVEIL devido ao uso do Microsoft Azure Blob Storage para comando e controle (C2). O carregador foi projetado para realizar verificações anti-análise para prosseguir somente se o malware determinar que está sendo executado em um ambiente de área restrita.
“O malware apenas se comunica com o Azure Blob Storage, o mesmo serviço usado por milhares de empresas legítimas em todo o mundo”, disse Seqrite Labs. "Em vez de usar um modelo C2 tradicional baseado em pull, o AZUREVEIL segue uma abordagem de dead drop. O invasor e o sistema infectado nunca se comunicam diretamente. Em vez disso, ambos os lados usam o mesmo contêiner de armazenamento do Azure para trocar dados."
AZUREVEIL suporta 36 comandos que permitem executar uma ampla gama de ações pós-comprometimento no host, incluindo operações de arquivo, uploads e downloads de arquivos, execução de comandos shell, enumeração e encerramento de processos, encaminhamento de porta, controle de proxy SOCKS, gerenciamento de servidor C2 e execução na memória de arquivos de objeto Beacon (BOFs).
Esses recursos concedem ao invasor controle total sobre o endpoint comprometido. Embora a atividade tenha sido atribuída a um ator ou grupo de ameaça conhecido, é avaliada como alinhada com a China.
A divulgação ocorre no momento em que a Cato Networks disse que detectou e bloqueou uma tentativa de intrusão contra a filial indiana de um cliente de manufatura global não identificado para entregar o TencShell, um implante baseado em Go, anteriormente não documentado, derivado da estrutura rshell C2 de código aberto.
Acredita-se que o ataque seja obra de atores de ameaças do nexo da China, com base no uso histórico de rshell, representação de API com tema Tencent e padrões de infraestrutura. O vetor de acesso inicial usado na intrusão é atualmente desconhecido.
“Se tivesse sucesso, o TencShell poderia ter fornecido ao invasor a execução remota de comandos, execução de carga útil na memória, proxy, dinamização, perfil do sistema e um caminho para implantar ferramentas adicionais”, disseram os pesquisadores Idan Tarab, Dr. Guy Waizel, Zohar Buber e Shani Kurtzberg.
Em um relatório publicado na semana passada, a ESET disse que os agentes de ameaças alinhados à China permaneceram “altamente ativos” globalmente de outubro de 2025 a março de 2026. Isso inclui um cluster não relatado chamado SteppeDriver que foi descoberto pela primeira vez em 2024 e desde então tem como alvo entidades na França, Mongólia e América do Sul usando ferramentas como ShadowPad, COOLCLIENT, CurlyDoor, RudeGull e MKTDownloader.
Também identificado pelo fornecedor eslovaco de segurança cibernética está um novo kit de ferramentas vinculado ao UNC5221 chamado PhiliKit, que atua como um backdoor passivo para executar comandos shell, scripts Python e scripts Perl. Suspeita-se que o PhiliKit seja implantado como parte do pacote de malware SPAWN usado pelo grupo de hackers chinês no passado.
Um terceiro grupo de ameaças afiliado à China é o NegativeGlimmer, que se acredita compartilhar algum nível de sobreposição com o TGR-STA-1030, que a Unidade 42 da Palo Alto Networks documentou no início deste ano como tendo violado pelo menos 70 organizações governamentais e de infraestrutura crítica em 37 países no ano passado.
Em pelo menos um caso observado em dezembro de 2025, descobriu-se que o ator da ameaça tinha como alvo uma organização governamental no Panamá, usando uma cadeia de carregamento lateral de DLL iniciada por meio de spear-phishing para entregar um downloader que então implanta o Adapti.
De acordo com o Seqrite Labs, os alvos da campanha incluem os setores governamental, de pesquisa, acadêmico, tecnológico e de serviços financeiros. A atividade envolve a distribuição de e-mails de spear-phishing contendo anexos ZIP para acionar uma cadeia de infecção que usa um carregador Rust para descartar a carga final para exfiltração de dados e controle remoto.
“Quando extraído, o arquivo contém vários arquivos que parecem legítimos, mas na verdade fazem parte de uma cadeia de infecção estruturada projetada para executar cargas maliciosas em segundo plano”, disse a pesquisadora de segurança Priya Patel.
A cadeia de ataque usa dois caminhos diferentes para lançar o malware em estágio final. Uma sequência de infecção começa quando o destinatário do arquivo ZIP abre um arquivo malicioso do Windows Shortcut (LNK) que se disfarça como um documento PDF. Isso leva à execução de um script do PowerShell responsável por extrair um executável ("RuntimeBroker_update.exe") de um arquivo DAT intermediário e executá-lo.
Na segunda cadeia de ataque, a vítima lança diretamente um binário do mesmo arquivo. O binário funciona como um conta-gotas independente baseado em Rust para iniciar "RuntimeBroker_update.exe". Independentemente do caminho escolhido, o executável carrega uma DLL maliciosa ("UnityPlayer.dll") por meio de carregamento lateral de DLL, resultando na implantação de um carregador baseado em Rust chamado RUSTCLOAK.
O carregador então descriptografa e executa a carga principal, um agente AdaptixC2 de codinome AZUREVEIL devido ao uso do Microsoft Azure Blob Storage para comando e controle (C2). O carregador foi projetado para realizar verificações anti-análise para prosseguir somente se o malware determinar que está sendo executado em um ambiente de área restrita.
“O malware apenas se comunica com o Azure Blob Storage, o mesmo serviço usado por milhares de empresas legítimas em todo o mundo”, disse Seqrite Labs. "Em vez de usar um modelo C2 tradicional baseado em pull, o AZUREVEIL segue uma abordagem de dead drop. O invasor e o sistema infectado nunca se comunicam diretamente. Em vez disso, ambos os lados usam o mesmo contêiner de armazenamento do Azure para trocar dados."
AZUREVEIL suporta 36 comandos que permitem executar uma ampla gama de ações pós-comprometimento no host, incluindo operações de arquivo, uploads e downloads de arquivos, execução de comandos shell, enumeração e encerramento de processos, encaminhamento de porta, controle de proxy SOCKS, gerenciamento de servidor C2 e execução na memória de arquivos de objeto Beacon (BOFs).
Esses recursos concedem ao invasor controle total sobre o endpoint comprometido. Embora a atividade tenha sido atribuída a um ator ou grupo de ameaça conhecido, é avaliada como alinhada com a China.
A divulgação ocorre no momento em que a Cato Networks disse que detectou e bloqueou uma tentativa de intrusão contra a filial indiana de um cliente de manufatura global não identificado para entregar o TencShell, um implante baseado em Go, anteriormente não documentado, derivado da estrutura rshell C2 de código aberto.
Acredita-se que o ataque seja obra de atores de ameaças do nexo da China, com base no uso histórico de rshell, representação de API com tema Tencent e padrões de infraestrutura. O vetor de acesso inicial usado na intrusão é atualmente desconhecido.
“Se tivesse sucesso, o TencShell poderia ter fornecido ao invasor a execução remota de comandos, execução de carga útil na memória, proxy, dinamização, perfil do sistema e um caminho para implantar ferramentas adicionais”, disseram os pesquisadores Idan Tarab, Dr. Guy Waizel, Zohar Buber e Shani Kurtzberg.
Em um relatório publicado na semana passada, a ESET disse que os agentes de ameaças alinhados à China permaneceram “altamente ativos” globalmente de outubro de 2025 a março de 2026. Isso inclui um cluster não relatado chamado SteppeDriver que foi descoberto pela primeira vez em 2024 e desde então tem como alvo entidades na França, Mongólia e América do Sul usando ferramentas como ShadowPad, COOLCLIENT, CurlyDoor, RudeGull e MKTDownloader.
Também identificado pelo fornecedor eslovaco de segurança cibernética está um novo kit de ferramentas vinculado ao UNC5221 chamado PhiliKit, que atua como um backdoor passivo para executar comandos shell, scripts Python e scripts Perl. Suspeita-se que o PhiliKit seja implantado como parte do pacote de malware SPAWN usado pelo grupo de hackers chinês no passado.
Um terceiro grupo de ameaças afiliado à China é o NegativeGlimmer, que se acredita compartilhar algum nível de sobreposição com o TGR-STA-1030, que a Unidade 42 da Palo Alto Networks documentou no início deste ano como tendo violado pelo menos 70 organizações governamentais e de infraestrutura crítica em 37 países no ano passado.
Em pelo menos um caso observado em dezembro de 2025, descobriu-se que o ator da ameaça tinha como alvo uma organização governamental no Panamá, usando uma cadeia de carregamento lateral de DLL iniciada por meio de spear-phishing para entregar um downloader que então implanta o Adapti.
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #grupos #alinhados #à #china #intensificam #ataques: #dragon #weave #atinge #a #república #tcheca #e #taiwan
🚀 Mais conteúdos incríveis estão por vir, fique atento!
Postar um comentário