.
A Bitdefender diz que rastreou e expôs uma gangue online que opera desde 2018 quase sem deixar vestígios – e provavelmente trabalhando para os interesses chineses.
Um relatório do fabricante de antivírus detalha os criminosos – apelidados de Unfading Sea Haze – e seus métodos para invadir PCs com Windows e infectá-los com spyware que rouba dados.
Os ataques do grupo – que atingiram pelo menos alvos governamentais e militares – foram “sofisticados” e centraram-se em “flexibilidade e técnicas de evasão”, afirma.
A origem e os objetivos finais do Unfading Sea Haze não são absolutamente claros para o Bitdefender, mas afirma com confiança que os ataques que investigou não pertencem a um grupo já conhecido. O país de origem da tripulação é provavelmente a China, de acordo com o relatório, citando os ataques do Unfading Sea Haze a nações localizadas dentro ou ao redor do Mar da China Meridional, o uso de ferramentas populares na China e uma técnica específica que se assemelha a outra técnica patrocinada pelo Estado chinês. entidade, APT41.
Nada disso é um golpe certeiro em termos de atribuição e pode ser ofuscação deliberada, mas ainda assim, agora você sabe.
O Mar da China Meridional é uma área estrategicamente importante para a China e muitos países reivindicam parte dela – como a Malásia, as Filipinas e o Vietname. O Reino do Meio reivindica quase tudo, marcado pela chamada Linha dos Nove Traços.
“A falta de uma correspondência definitiva e a presença destas pistas sugestivas pintam o quadro de um ator de ameaça sofisticado com ligações ao ecossistema cibernético chinês”, argumentam os investigadores.
O relatório observa que o Unfading Sea Haze fez sua intrusão inicial nos sistemas de computador Windows há pelo menos seis anos. A Bitdefender conseguiu confirmar que os invasores usaram spear phishing para obter acesso.
O spear phishing geralmente indica que uma equipe está particularmente interessada em alguns alvos, como engenheiros para roubar projetos ou políticos e ativistas para espionar. E, de facto, somos informados de que pelo menos oito organizações foram atingidas pelo gangue, a maioria das quais eram agências governamentais ou operações militares.
De acordo com a pesquisa de quarta-feira, Unfading Sea Haze enviou e-mails com arquivos zip anexados contendo arquivos .LNK disfarçados de documentos que, quando abertos, executavam uma série de comandos do Windows.
Os comandos baixariam um arquivo de um servidor Unfading Sea Haze para o disco, esperariam dez segundos e então executariam o arquivo via MSBuild.
Em março deste ano, a equipe melhorou sua execução para evitar gravar o arquivo baixado no armazenamento, usando uma combinação de Powershell e MSBuild, e em vez disso executá-lo a partir da memória, o que pode ajudar a evitar a detecção.
O código não autorizado baixado configuraria tarefas agendadas que executam programas inofensivos que carregam arquivos DLL maliciosos: essas DLLs espionariam o usuário usando keyloggers, copiariam dados confidenciais armazenados em navegadores e verificariam unidades portáteis para gerar listagens de arquivos.
Todos esses dados, incluindo quaisquer arquivos a serem exfiltrados, seriam enviados aos bisbilhoteiros via FTP usando Curl, usando primeiro credenciais codificadas e depois aquelas geradas dinamicamente.
Perigoso devido à sua capacidade de adaptação
O relatório da Bitdefender argumenta que parte da eficácia dos ataques se deveu à “má higiene de credenciais e práticas inadequadas de correção em dispositivos e serviços web expostos”. Por outras palavras, as oito organizações vítimas – a maioria das quais eram agências governamentais ou sistemas militares – tinham uma segurança frouxa de uma forma ou de outra.
Por outro lado, Unfading Sea Haze não sobreviveu apenas por sorte. “O longo período de invisibilidade do Unfading Sea Haze, superior a cinco anos para um provável ator do Estado-nação, é particularmente preocupante”, observa Bitdefender. “Seu arsenal de malware personalizado, incluindo a família Gh0st RAT e Ps2dllLoader, mostra foco em flexibilidade e técnicas de evasão.”
Os invasores afiliados ao Unfading Sea Haze mudaram progressivamente seus métodos e ferramentas. Como a roupa acabou de ser revelada, as inovações poderiam ter sido buscadas como parte de um plano, em vez de uma reação a situações difíceis ou outros incidentes.
Os bisbilhoteiros apoiados pela China não são novidade e têm sido prolíficos à escala global, tendo comprometido pelo menos 70 organizações e tendo como alvo mais de 116 espalhadas por 23 países. Os cínicos podem dizer que Unfading Sea Haze passou despercebido porque não é tão significativo no grande esquema das coisas, embora o Bitdefender argumente o contrário, dizendo que a tripulação foi atrás de alvos de alto nível.
Pedimos mais detalhes ao Bitdefender e a empresa recusou. “Entendemos o interesse do público, mas por razões de segurança não podemos divulgar países ou organizações específicas”, explicou o diretor sênior Steve Fiore ao O registro.
“No entanto, podemos confirmar que os alvos se assemelham àqueles normalmente ligados a atores estatais chineses. Nossos Laboratórios Bitdefender e equipes de MDR estão monitorando continuamente a situação para fornecer mais informações.”
Consulte o relatório para obter detalhes técnicos, incluindo indicadores de comprometimento, sobre como detectar e bloquear ataques semelhantes aos do Unfading Sea Haze. ®
.
