వార్తలు

Novo ataque ao Windows detectado em campanha de phishing executada e direcionada à China

A nuvem da Tencent, campeã da web chinesa, está sendo usada por invasores desconhecidos como parte de uma campanha de phishing que visa obter acesso persistente à rede de entidades chinesas.

Fornecedor de ferramentas de detecção, investigação e resposta a ameaças dos EUA, Securonix, na semana passada reivindicado ter “descoberto uma campanha secreta visando usuários de língua chinesa com cargas úteis Cobalt Strike provavelmente entregues por e-mails de phishing. Os invasores conseguiram se mover lateralmente, estabelecer persistência e permanecer sem serem detectados dentro dos sistemas por mais de duas semanas.”

Os pesquisadores de ameaças da Securonix, Den Iuzvyk e Tim Peck, escreveram que não conseguiram determinar a origem do ataque, nem o vetor de ataque. Mas a dupla conseguiu concluir que ele começa com e-mails de phishing que carregam arquivos Zip compactados intitulados “20240739人员名单信息.zip” – que se traduz em “Informações da lista de pessoal”.

Clicar nesse arquivo descompacta um arquivo que inclui um link de arquivo intitulado “Lista de pessoas que violaram os regulamentos de software de controle remoto.docx.lnk” – “Lista de pessoas que violaram os regulamentos de software de controle remoto”.”

Iuzvyk e Peck sugeriram que os nomes dos arquivos significam que a campanha provavelmente tem como alvo “setores empresariais ou governamentais específicos da China… já que ambos empregariam indivíduos que seguem ‘regulamentos de software de controle remoto'”.

Seja qual for o motivo, clicar nesse link leva à execução de código que é executado dentro de diretórios aninhados com nomes que fazem referência a “MACOS”.

Vários diretórios abaixo escondem um par de arquivos chamados dui70.dll e UI.exe.

Este último é uma versão renomeada de um executável legítimo do Windows chamado LicensingUI.exe – a ferramenta que informa os usuários sobre licenciamento e ativação de software.

“O arquivo legítimo é projetado para importar vários arquivos DLL legítimos, um dos quais é dui70.dll e normalmente deve residir em C:\Windows\System32. No entanto, graças a uma vulnerabilidade de travessia de caminho de DLL, qualquer DLL contendo o mesmo nome pode ser carregada lateralmente na execução do UI.exe renomeado pelo arquivo LNK”, escreveram os pesquisadores da Securonix.

A dupla não conseguiu encontrar relatos de uma técnica de sequestro ou carregamento lateral de DLL envolvendo LicensingUI.exe, então talvez essa seja uma nova tática.

Uma vez que o UI.exe é executado, uma DLL maliciosa que é na verdade um implante para o kit de ferramentas de ataque Cobalt Strike notório começa a trabalhar e se injeta no binário do Windows “runonce.exe”. Esse executável dá aos invasores controle total sobre um host.

Quem quer que execute esta campanha então implanta vários outros softwares maliciosos, a saber:

  • fpr.exe – Executável desconhecido;
  • iox.exe – Uma ferramenta para encaminhamento de portas e configuração de conexões proxy;
  • fscan.exe – Um scanner bem conhecido em red teaming para identificar hosts ativos e portas abertas. O arquivo de saída é “result.txt”;
  • netspy.exe – Uma ferramenta de reconhecimento de rede usada para capturar tráfego de rede ou escanear vulnerabilidades de rede. Os arquivos de log são “netspy.log” e “alive.txt”;
  • lld.exe – Um binário carregador de shellcode que no nosso caso carregou e executou shellcode bruto salvo em C:/Windows/Temp/tmp/tmp.log;
  • xxx.txt – O mesmo que tmp.log antes de ser renomeado;
  • tmp.log – Um arquivo contendo shellcode a ser executado por lld.exe;
  • sharpdecryptpwd.exe – Um utilitário baseado em linha de comando que coleta e despeja credenciais em cache de aplicativos instalados, como Navicat, TeamViewer, FileZilla, WinSCP e Xmanager;
  • pvefindaduser.exe – Usado para enumeração de usuários do Windows Active Directory (AD);
  • novo documento de texto.txt – os pesquisadores não conseguiram capturar este arquivo e sua ação é desconhecida;
  • gogo_windows_amd64.exe – Parece relacionado a um projeto de código aberto “Nemo” que automatiza ferramentas de enumeração como Nmap, Massscan e muitas outras. Gera arquivos “.sock.lock” e “output.txt”.

Os itens acima foram executados em sequência e produziram muitas informações que os invasores exfiltraram – presumivelmente para informar outros ataques.

A Securonix observou os invasores estabelecendo acesso persistente nas redes das vítimas e se movendo lateralmente usando o protocolo de área de trabalho remota.

Levantar informações sobre a configuração do Active Directory é um alvo, endereços IP públicos é outro.

Os pesquisadores da Securonix escreveram que todos os endereços IP que eles observaram como tendo sido usados ​​neste ataque estavam hospedados na Tencent – ​​incluindo em seu serviço de armazenamento de objetos em nuvem. Não é incomum que nuvens públicas descubram que têm clientes desagradáveis, mas o governo da China não olha com bons olhos para seus gigantes da tecnologia quando eles falham em proteger a internet local.

O fornecedor de segurança nomeou a campanha que identificou de SLOW#TEMPEST porque quem a administra está disposto a ficar à espreita por uma ou duas semanas em busca de seus objetivos.

Os pesquisadores de ameaças Iuzvyk e Peck rotularam o invasor como “altamente organizado e sofisticado [and] “provavelmente orquestrado por um agente de ameaças experiente que tinha experiência no uso de estruturas de exploração avançadas, como CobaltStrike e uma ampla gama de outras ferramentas de pós-exploração.”

“A complexidade da campanha é evidente em sua abordagem metódica ao comprometimento inicial, persistência, escalada de privilégios e movimento lateral na rede.”

Mas a Securonix não conseguiu encontrar evidências sólidas ligando esse ataque a nenhum grupo APT conhecido.

Acredita-se que a maioria desses grupos seja filiada à própria China, à Rússia ou à Coreia do Norte.

As duas últimas nações estão entre os amigos mais próximos de Pequim. Mas é claro que aqueles que consideram a China como inimiga também podem estar muito interessados ​​no tipo de informação que esse ataque tem como alvo. ®

Source

Related Articles

Leave a Reply

Your email address will not be published. Required fields are marked *

Back to top button