.
O alcance da gangue Salt Typhoon, ligada à China, vai além dos gigantes americanos das telecomunicações, e seu arsenal inclui vários backdoors, incluindo um novo malware chamado GhostSpider, de acordo com pesquisadores da Trend Micro.
Embora a equipe tenha ganhado as manchetes recentemente por hackear “milhares e milhares” de dispositivos em empresas de telecomunicações dos EUA, uma pesquisa publicada na segunda-feira pela equipe de inteligência de ameaças da Trend Micro sugere que o Salt Typhoon (que a Trend rastreia como “Earth Estries”) também atingiu mais de 20 organizações. globalmente desde 2023. Eles abrangem vários setores, incluindo tecnologia, consultoria, indústrias químicas e de transporte, agências governamentais e organizações sem fins lucrativos (ONGs) nos EUA, na região Ásia-Pacífico, no Médio Leste e África do Sul.
Os países afetados incluem: Afeganistão, Brasil, Eswatini, Índia, Indonésia, Malásia, Paquistão, Filipinas, África do Sul, Taiwan, Tailândia, EUA e Vietname.
É “um dos grupos chineses de ameaças persistentes avançadas (APT) mais agressivos”, escreveram Leon Chang, Theo Chen, Lenart Bermejo e Ted Lee da Trend Micro.
Earth Estries (também conhecido como Salt Typhoon, FamousSparrow, GhostEmperor e UNC2286) conduziu “ataques prolongados” contra governos e provedores de serviços de Internet desde 2020, de acordo com os pesquisadores da Trend. Então, em meados de 2022, a equipe começou a visar prestadores de serviços governamentais e empresas de telecomunicações.
“Descobrimos que, em 2023, os atacantes também tinham como alvo empresas de consultoria e ONGs que trabalham com o governo federal e militares dos EUA”, escreveu a equipe de inteligência sobre ameaças.
Estas intrusões não só comprometeram a base de dados e os servidores em nuvem das empresas de telecomunicações, mas também atacaram os fornecedores das empresas, implantando pelo menos um caso o rootkit Demodex em máquinas utilizadas por um grande empreiteiro de um fornecedor de telecomunicações regional dominante. Os analistas da Trend Micro acham que isso mostra que o Salt Typhoon queria obter acesso a mais alvos.
Chang, Chen, Bermejo e Lee acrescentaram que não têm evidências suficientes para vincular definitivamente os Earth Estries aos ataques mais recentes contra Verizon, AT&T, Lumen e outras empresas de telecomunicações dos EUA. Isso ocorre porque a equipe da Trend Micro não teve acesso a “um relatório mais detalhado sobre o Salt Typhoon”. No entanto, podem confirmar que as tácticas, técnicas e procedimentos (TTP) são semelhantes aos observados em ataques que se pensa terem sido perpetrados pela tripulação ligada a Pequim.
“Até vermos um relatório mais detalhado vindo da Microsoft sobre o que todos os TTPs foram usados nos ataques Salt Typhoon contra empresas de telecomunicações dos EUA, não temos realmente a capacidade de ligá-los diretamente”, disse Jon, vice-presidente de inteligência de ameaças da Trend Micro. Clay disse O Registro.
Como o tufão de sal surge
A equipe normalmente explora vulnerabilidades de servidores públicos para acesso inicial. Estes incluem:
CVE-2023-46805 e CVE-2024-21887 no Ivanti Connect Secure. Eles podem ser encadeados para ignorar a autenticação, criar solicitações maliciosas e executar comandos arbitrários com privilégios elevados.
CVE-2023-48788, um bug de injeção de SQL do Fortinet FortiClient EMS que permite que um invasor execute código não autorizado por meio de pacotes especialmente criados.
CVE-2022-3236, uma vulnerabilidade de injeção de código no Sophos Firewall que permite a execução remota de código (RCE).
CVE-2021-26855 (também conhecido como ProxyLogon), CVE-2021-26857, CVE-2021-26858 e CVE-2021-27065. Essas falhas do servidor Microsoft Exchange podem ser encadeadas para permitir o RCE.
Em seguida, a tripulação utiliza as chamadas técnicas de “viver fora da terra” – ferramentas de software e credenciais legítimas, que permitem que os invasores da rede bisbilhotem sem serem detectados.
No caso do Earth Estries/Salt Typhoon: incluem WMIC.exe, um utilitário de linha de comando que permite aos usuários acessar o Windows Management Instrumentation (WMI) e PsExec, outra ferramenta legítima do Windows que permite aos usuários executar processos em outros sistemas sem instalar software cliente.
Os invasores abusam deles para se moverem lateralmente pelas redes, lançando malware e conduzindo espionagem de longo prazo.
Alguns dos malwares detectados nessas campanhas incluem o SnappyBee (também conhecido como Deed RAT), um backdoor modular compartilhado entre grupos ligados ao governo chinês. O Salt Typhoon também usa o rootkit Demodex para permanecer oculto, e o GhostSpider, um backdoor não divulgado anteriormente que pode carregar diferentes módulos com base nos propósitos específicos dos invasores.
“Atualmente, não temos evidências suficientes para atribuir o rootkit Demodex e o GhostSpider como um backdoor proprietário usado pelo Earth Estries”, escreveu a equipe da Trend Micro. ®
.
