Hackers do APT41 usam ShadowPad e Cobalt Strike em ataque cibernético a instituto taiwanês

Hackers do APT41 usam ShadowPad e Cobalt Strike em ataque cibernético a instituto taiwanês
Compartilhe

Um instituto de pesquisa afiliado ao governo de Taiwan, especializado em computação e tecnologias associadas, foi invadido por agentes de ameaças de estados-nação com laços com a China, de acordo com novas descobertas do Cisco Talos.

A organização não identificada foi alvo já em meados de julho de 2023 para entregar uma variedade de backdoors e ferramentas pós-comprometimento como ShadowPad e Cobalt Strike. Ela foi atribuída com confiança média a um prolífico grupo de hackers rastreado como APT41 .

ShadowPad

“O malware ShadowPad usado na campanha atual explorou uma versão vulnerável desatualizada do binário do Microsoft Office IME como um carregador para carregar o carregador de segundo estágio personalizado para iniciar a carga”, disseram os pesquisadores de segurança Joey Chen, Ashley Shen e Vitor Ventura .

“O agente da ameaça comprometeu três hosts no ambiente visado e conseguiu extrair alguns documentos da rede.”

A Cisco Talos disse que descobriu a atividade em agosto de 2023 após detectar o que descreveu como “comandos anormais do PowerShell” que se conectavam a um endereço IP para baixar e executar scripts do PowerShell no ambiente comprometido.

O vetor de acesso inicial exato usado no ataque não é conhecido, embora tenha envolvido o uso de um shell da web para manter o acesso persistente e lançar cargas úteis adicionais como ShadowPad e Cobalt Strike, com este último entregue por meio de um carregador Cobalt Strike baseado em Go chamado CS-Avoid-Killing .

“O malware Cobalt Strike foi desenvolvido usando um carregador anti-AV para ignorar a detecção de AV e evitar a quarentena do produto de segurança”, disseram os pesquisadores.

Alternativamente, o agente da ameaça foi observado executando comandos do PowerShell para iniciar scripts responsáveis ​​por executar o ShadowPad na memória e buscar o malware Cobalt Strike de um servidor de comando e controle (C2) comprometido. O carregador ShadowPad baseado em DLL, também chamado de ScatterBee , é executado via side-loading de DLL.

Algumas das outras etapas realizadas como parte da intrusão incluíram o uso do Mimikatz para extrair senhas e a execução de vários comandos para coletar informações sobre contas de usuários, estrutura de diretórios e configurações de rede.

“O APT41 criou um carregador personalizado para injetar uma prova de conceito para CVE-2018-0824 diretamente na memória, utilizando uma vulnerabilidade de execução remota de código para obter escalonamento de privilégios local”, disse Talos, observando que a carga final, UnmarshalPwn , é liberada após passar por três estágios diferentes.

O equipamento de segurança cibernética também destacou as tentativas do adversário de evitar a detecção interrompendo sua própria atividade ao detectar outros usuários no sistema. “Uma vez que os backdoors são implantados, o ator malicioso excluirá o shell da web e a conta de convidado que permitiram o acesso inicial”, disseram os pesquisadores.

A divulgação ocorre depois que a Alemanha revelou no início desta semana que agentes estatais chineses estavam por trás de um ataque cibernético em 2021 à agência nacional de mapeamento do país, o Escritório Federal de Cartografia e Geodésia (BKG), para fins de espionagem.

Respondendo às alegações, a embaixada da China em Berlim disse que a acusação é infundada e pediu à Alemanha “que pare com a prática de usar questões de segurança cibernética para difamar a China politicamente e na mídia”.

Fontes: The Hacker News