Espiões cibernéticos suspeitos de conexões com a China infectaram “dezenas” de computadores pertencentes a agências governamentais russas e provedores de TI com backdoors e trojans desde o final de julho, de acordo com a Kaspersky.
A empresa de segurança sediada na Rússia alegou que o malware usado nos ataques direcionados em andamento – apelidado de EastWind – tem links para dois grupos com conexão com a China rastreados como APT27 e APT31.
Após obter acesso inicial aos dispositivos de suas vítimas por meio de e-mails de phishing, os invasores usaram vários serviços e sites de nuvem, incluindo GitHub, Dropbox, Quora, LiveJournal e Yandex.Disk para direcionar seu malware de controle remoto para baixar cargas úteis adicionais em computadores comprometidos. Esses serviços foram efetivamente usados como servidores de comando e controle (C2).
Esses e-mails de phishing enviaram anexos de arquivo RAR contendo um atalho do Windows junto com um documento falso e arquivos legítimos e maliciosos para endereços de e-mail de organizações. Isso inclui bibliotecas maliciosas que usam sideloading de DLL para lançar um backdoor que então começa a se comunicar com o Dropbox.
Uma vez que estabelece contato com o serviço de armazenamento em nuvem, o backdoor busca instruções de seus mestres, executa comandos, realiza reconhecimento e baixa malware adicional. O malware inclui um trojan – anteriormente vinculado para APT31 durante uma campanha de 2021 e 2023 – que a Kaspersky chamou de “GrewApacha”.
Esta versão específica do GrewApacha usa o mesmo carregador detectado em 2023, mas agora usa dois servidores C2. Ele também usa uma biografia de perfil do GitHub para ofuscar o endereço do servidor C2, que é armazenado em uma string codificada em Base64.
Além do trojan GrewApacha, os atacantes também baixaram o backdoor CloudSorcerer. A Kaspersky anteriormente relatado sobre esse malware em julho e observou que, desde então, os invasores o modificaram para usar páginas de perfil na rede social de língua russa LiveJournal e no site de perguntas e respostas Quora como servidores C2 iniciais.
O CloudSorcerer, embora implantado contra organizações russas nesta campanha em particular, também foi identificado em um ataque no final de maio contra uma organização sediada nos EUA, de acordo com a Proofpoint.
Ao analisar as amostras atualizadas do CloudSorcerer, os caçadores de ameaças descobriram que os criminosos estavam usando esse backdoor para baixar um implante até então desconhecido que eles apelidaram de PlugY.
Este implante se conecta ao servidor C2 via TCP, UDP ou pipes nomeados, e pode manipular um conjunto “bastante extenso” de comandos, nos disseram. Isso inclui manipular arquivos, executar comandos de shell, registrar pressionamentos de tecla, monitorar telas e bisbilhotar áreas de transferência.
“A análise do implante ainda está em andamento, mas podemos concluir com alto grau de confiança que o código do DRBControl (também conhecido como Clambling) backdoor foi usado para desenvolvê-lo”, disseram os pesquisadores da Kaspersky escreveu essa semana.
O backdoor DRBControl foi vinculado ao APT27.
E a Kaspersky observou que o fato da campanha EastWind ter usado malware com semelhanças com amostras usadas pelo APT27 e APT29 “mostra claramente” que equipes apoiadas por estados-nação “muitas vezes se unem, compartilhando ativamente conhecimento e ferramentas”. ®
PS: Na semana passada, notamos que as equipes cibernéticas iranianas estavam intensificando as tentativas para meter o remo nas eleições dos EUA deste ano. Agora, o Google diz viu equipes apoiadas pelo Irã mirando pessoas nas campanhas republicana e democrata, entre outros, incluindo o exército israelense.
