APT patrocinada pelo estado chinês é suspeita de ataques recentes de ransomware
As análises dos pesquisadores de segurança sobre ataques de malware recentes a várias empresas indicam que um grupo de hackers patrocinado pelo estado chinês, o APT, pode estar nesta operação.
Os ataques aconteceram no ano de 2020 em pelo menos cinco empresas. Os atacantes atingiram os alvos por meio de um terceiro provedor de serviços, que foi infectado por outro provedor, disseram pesquisadores das firmas Profero e Security Joes.
Os atores da ameaça dependiam do BitLocker. Eles criptografam com sucesso vários serviços principais usando uma ferramenta de criptografia de unidade no Windows. As amostras de malware vinculadas ao DRBControl, relatadas pela Trend Micro e atribuídas ao APT27 e Winnti que estavam ativas desde 2010.
Profero e Security Joes apresentaram em conjunto um relatório que é a evidência clara de que esses dois grupos estão usando uma porta dos fundos Clambling para aquela usada na campanha DRBControl. Além disso, eles descobriram o webshell ASPXSpy, cuja versão modificada foi vista no ataque atribuído ao APT27.
O relatório também diz: “No que diz respeito a quem está por trás desta cadeia de infecção específica, existem ligações extremamente fortes ao APT27 / Emissary Panda, em termos de semelhanças de código e TTPs [táticas, técnicas e procedimentos].
Os agentes mal-intencionados implantaram malware PlugX e Clambing na memória do sistema usando o executável do atualizador do Google mais antigo, vulnerável ao carregamento lateral de DLL.
“Para cada uma das duas amostras, havia um executável legítimo, uma DLL mal-intencionada e um arquivo binário que consiste em um código de shell responsável por extrair a carga de si mesmo e executá-la na memória. Ambas as amostras usaram o Google Updater assinado e ambas as DLLs denominado goopdate.dll; no entanto, o arquivo binário PlugX foi denominado license.rtf, e o arquivo binário Clambling foi denominado English.rtf. “
Além disso, uma vulnerabilidade de 2017 (CVE-2017-0213) foi aproveitada que supostamente foi explorada para escalar privilégios no sistema.
O analista de segurança da Security Joes disse que a principal conclusão desses ataques é o envolvimento do grupo de hackers em uma campanha com fins financeiros.
Um grupo tão malicioso é um sinal de que os governos devem ter uma abordagem unificada na luta contra essas ameaças, disseram os pesquisadores da Profero.