23/05/2024 às 12h23min - Atualizada em 23/05/2024 às 20h02min

Campanha de ciberespionagem chinesa expande alvos para a África e o Caribe

Pesquisadores da Check Point Research (CPR) descobriram uma campanha de ciberespionagem em andamento, atribuída ao notório agente de ameaças chinês Sharp Dragon, que está expandindo seu foco para organizações governamentais na África e no Caribe; esta mudança marca uma escalada significativa em suas operações

JULIANA VERCELLI
https://www.checkpoint.com/pt/
Imagem ilustrativa - Divulgação Check Point Software
A Check Point Research (CPR), divisão de Inteligência em Ameaças da Check Point Software, descobriu uma campanha de ciberespionagem em andamento com foco em organizações governamentais nas regiões da África e no Caribe. Atribuída ao agente de ameaças chinês Sharp Dragon (anteriormente conhecido pela denominação Sharp Panda), a campanha adota o Cobalt Strike Beacon como carga útil (payload), possibilitando funcionalidades de backdoor como comunicação C2 e execução de comandos, ao mesmo tempo que minimiza a exposição de suas ferramentas personalizadas. Essa abordagem refinada sugere uma compreensão mais profunda de seus alvos.

As principais descobertas dos pesquisadores da CPR são:

. As operações do Sharp Dragon continuam, agora expandindo seu foco para novas regiões: África e Caribe.
. O Sharp Dragon utiliza entidades governamentais confiáveis para infectar novas organizações e estabelecer pontos de entrada iniciais em novos territórios previamente inexplorados.
. Os agentes de ameaças demonstram maior cautela na seleção de seus alvos, ampliando seus esforços de reconhecimento e adotando o Cobalt Strike Beacon em vez de backdoors personalizados, mostrando uma abordagem refinada de infiltração.
. Ao longo de suas operações, o Sharp Dragon explorou vulnerabilidades de um (01) dia para comprometer infraestruturas que posteriormente foram usadas como infraestruturas de Comando e Controle (C&C).

Análise detalhada

Desde 2021, a CPR tem monitorado de perto as atividades do Sharp Dragon, que envolvem principalmente e-mails de phishing altamente direcionados, resultando na implantação de malwares como VictoryDLL ou o framework Soul. No entanto, uma mudança significativa ocorreu nos últimos meses, com o Sharp Dragon redirecionando parte de seu foco da região da Ásia-Pacífico para organizações governamentais na África e no Caribe.

Essa expansão está alinhada com seu modus operandi, caracterizado pelo comprometimento de contas de e-mail de alto perfil para disseminar documentos de phishing, agora armados com o Cobalt Strike Beacon para capacidades de infiltração aprimoradas.

De acordo com Sergey Shykevich, gerente de Inteligência de Ameaças da Check Point Research (CPR), "a expansão do Sharp Dragon para a África e o Caribe destaca uma mudança nos alvos desse agente e seus pontos de interesse. A adoção do Cobalt Strike Beacon reflete uma evolução em suas táticas, sinalizando a necessidade de maior vigilância entre as organizações nessas regiões".

Essas atividades são consistentes com o modus operandi estabelecido do Sharp Dragon, caracterizado pelo comprometimento de contas de e-mail de alto perfil para disseminar documentos de phishing utilizando um template remoto armado com o RoyalRoad. No entanto, ao contrário das táticas anteriores, essas iscas agora implantam o Cobalt Strike Beacon, indicando uma adaptação estratégica para aprimorar suas capacidades de infiltração.

Cadeia de infecção

Primeiro, os agentes de ameaças utilizam e-mails de phishing altamente personalizados, muitas vezes disfarçados como correspondências legítimas, para atrair as vítimas a abrirem anexos maliciosos ou clicarem em links maliciosos.

Esses anexos ou links executam cargas úteis (payload), que evoluíram ao longo do tempo de malwares personalizados, como VictoryDLL e o framework Soul, para ferramentas mais amplamente utilizadas, como o Cobalt Strike Beacon.

Após a execução bem-sucedida, o malware estabelece um ponto de entrada no sistema da vítima, permitindo que os agentes de ameaças realizem reconhecimento e coletem informações sobre o ambiente alvo. Esta fase de reconhecimento permite ao Sharp Dragon identificar alvos de alto valor e adaptar suas estratégias de ataque de acordo com isso.

Essa cadeia de infecção destaca a abordagem sofisticada do Sharp Dragon para operações cibernéticas, enfatizando o planejamento cuidadoso, reconhecimento e exploração de vulnerabilidades para alcançar seus objetivos enquanto minimizam a detecção.

Táticas, técnicas e procedimentos

Embora a funcionalidade principal permaneça consistente, os pesquisadores da Check Point Research identificaram mudanças em suas Táticas, Técnicas e Procedimentos (TTPs). Essas mudanças refletem uma seleção de alvos mais cuidadosa e uma maior consciência de segurança operacional (OPSEC).

Algumas mudanças incluem:

. Coleta Ampla de Reconhecimento: O downloader 5.t agora realiza um reconhecimento mais completo nos sistemas-alvo, incluindo a análise de listas de processos e a enumeração de pastas, levando a uma seleção mais criteriosa das potenciais vítimas.
. Payload do Cobalt Strike: Sharp Dragon passou de usar VictoryDll e o framework SoulSearcher para adotar o Cobalt Strike Beacon como a carga útil para o downloader 5.t, proporcionando funcionalidades de backdoor enquanto minimiza a exposição de ferramentas personalizadas, sugerindo uma abordagem refinada para a avaliação de alvos e minimização de exposição.
. Carregadores EXE: Observações recentes indicam uma mudança notável nos downloaders 5.t, com alguns dos últimos exemplos incorporando carregadores baseados em EXE em vez dos típicos baseados em DLL, destacando a evolução dinâmica de suas estratégias. Além disso, o Sharp Dragon introduziu um novo executável, mudando da cadeia de infecção baseada em documentos do Word para executáveis disfarçados como documentos, semelhante ao método anterior, mas aprimorando a persistência através de tarefas agendadas.
. Infraestrutura Comprometida: Sharp Dragon muda de servidores dedicados para usar servidores comprometidos como servidores de Comando e Controle (C&C), especificamente utilizando a vulnerabilidade CVE-2023-0669, que é uma falha na plataforma GoAnywhere que permite injeção de comandos de pré-autenticação.

“A expansão estratégica do Sharp Dragon para a África e o Caribe representa um esforço mais amplo dos atores cibernéticos chineses para aumentar sua presença e influência nessas regiões. As táticas em evolução do Sharp Dragon destacam a natureza dinâmica das ameaças cibernéticas, especialmente em relação a regiões historicamente negligenciadas. Essas descobertas só reforçam a importância de medidas de cibersegurança robustas e de prevenção, por meio de soluções que ofereçam proteção abrangente contra ameaças emergentes”, conclui Sergey Shykevich.

 

Notícia distribuída pela saladanoticia.com.br. A Plataforma e Veículo não são responsáveis pelo conteúdo publicado, estes são assumidos pelo Autor(a):
JULIANA VERCELLI
[email protected]


Link
Notícias Relacionadas »
Comentários »
Fale pelo Whatsapp
Atendimento
Precisa de ajuda? fale conosco pelo Whatsapp