Um instituto de pesquisa afiliado ao governo de Taiwan, especializado em computação e tecnologias associadas, foi invadido por agentes de ameaças de estados-nação com laços com a China, de acordo com novas descobertas do Cisco Talos.
A organização não identificada foi alvo já em meados de julho de 2023 para entregar uma variedade de backdoors e ferramentas pós-comprometimento como ShadowPad e Cobalt Strike. Ela foi atribuída com confiança média a um prolífico grupo de hackers rastreado como APT41 .
ShadowPad
“O malware ShadowPad usado na campanha atual explorou uma versão vulnerável desatualizada do binário do Microsoft Office IME como um carregador para carregar o carregador de segundo estágio personalizado para iniciar a carga”, disseram os pesquisadores de segurança Joey Chen, Ashley Shen e Vitor Ventura .
“O agente da ameaça comprometeu três hosts no ambiente visado e conseguiu extrair alguns documentos da rede.”
A Cisco Talos disse que descobriu a atividade em agosto de 2023 após detectar o que descreveu como “comandos anormais do PowerShell” que se conectavam a um endereço IP para baixar e executar scripts do PowerShell no ambiente comprometido.
O vetor de acesso inicial exato usado no ataque não é conhecido, embora tenha envolvido o uso de um shell da web para manter o acesso persistente e lançar cargas úteis adicionais como ShadowPad e Cobalt Strike, com este último entregue por meio de um carregador Cobalt Strike baseado em Go chamado CS-Avoid-Killing .
“O malware Cobalt Strike foi desenvolvido usando um carregador anti-AV para ignorar a detecção de AV e evitar a quarentena do produto de segurança”, disseram os pesquisadores.
Alternativamente, o agente da ameaça foi observado executando comandos do PowerShell para iniciar scripts responsáveis por executar o ShadowPad na memória e buscar o malware Cobalt Strike de um servidor de comando e controle (C2) comprometido. O carregador ShadowPad baseado em DLL, também chamado de ScatterBee , é executado via side-loading de DLL.
Algumas das outras etapas realizadas como parte da intrusão incluíram o uso do Mimikatz para extrair senhas e a execução de vários comandos para coletar informações sobre contas de usuários, estrutura de diretórios e configurações de rede.
“O APT41 criou um carregador personalizado para injetar uma prova de conceito para CVE-2018-0824 diretamente na memória, utilizando uma vulnerabilidade de execução remota de código para obter escalonamento de privilégios local”, disse Talos, observando que a carga final, UnmarshalPwn , é liberada após passar por três estágios diferentes.
O equipamento de segurança cibernética também destacou as tentativas do adversário de evitar a detecção interrompendo sua própria atividade ao detectar outros usuários no sistema. “Uma vez que os backdoors são implantados, o ator malicioso excluirá o shell da web e a conta de convidado que permitiram o acesso inicial”, disseram os pesquisadores.
A divulgação ocorre depois que a Alemanha revelou no início desta semana que agentes estatais chineses estavam por trás de um ataque cibernético em 2021 à agência nacional de mapeamento do país, o Escritório Federal de Cartografia e Geodésia (BKG), para fins de espionagem.
Respondendo às alegações, a embaixada da China em Berlim disse que a acusação é infundada e pediu à Alemanha “que pare com a prática de usar questões de segurança cibernética para difamar a China politicamente e na mídia”.
Fontes: The Hacker News
+Mais
Medusa Ransomware explora falha da Fortinet para ataques sofisticados
Google revela novos recursos de segurança no Chrome para mais proteção
FBI: Perdas relatadas com criptomoedas atingiram US$ 5,6 bilhões em 2023