HomePtNotíciaGrupo chinês de espionagem cibernética Moshen Dragon tem como alvo empresas de...

Grupo chinês de espionagem cibernética Moshen Dragon tem como alvo empresas de telecomunicações asiáticas


Pesquisadores identificaram um novo conjunto de atividades cibernéticas maliciosas rastreadas como Moshen Dragon, visando provedores de serviços de telecomunicações na Ásia Central.

Embora este novo grupo de ameaças tenha alguma sobreposição com “RedFoxtrot” e “Nomad Panda”, incluindo o uso de variantes de malware ShadowPad e PlugX, há diferenças suficientes em suas atividades para segui-los separadamente.

De acordo com um novo relatório do Sentinel Labs, Moshen Dragon é um grupo de piratas experientes com a capacidade de ajustar seu foco com base nas defesas que enfrentam.

Os hackers gastam muito tempo tentando baixar DLLs maliciosas do Windows em produtos antivírus, roubar credenciais para mover lateralmente e, eventualmente, exfiltrar dados de máquinas infectadas.

Cadeia Geral de Operações do Moshen Dragon
Cadeia Geral de Operações do Moshen Dragon (Laboratórios Sentinela)

detalhes do ataque

Neste momento, o vetor de infecção é desconhecido, então o relatório do Sentinel Lab começa com abuso de antivírus, que inclui produtos da TrendMicro, Bitdefender, McAfee, Symantec e Kaspersky.

Como esses produtos antivírus são executados com altos privilégios no sistema operacional Windows, o sideload de uma DLL maliciosa em seu processo permite que hackers executem código na máquina com poucas restrições e evitem a detecção.

O Moshen Dragon usa esse método para implementar o Impacket, um kit Python criado para facilitar o movimento lateral e a execução remota de código via Windows Management Instrumentation (WMI).

Características do movimento lateral do pacote
Características do movimento lateral do pacote (Laboratórios Sentinela)

O Ipacket também ajuda no roubo de credenciais, incorporando uma ferramenta de código aberto que captura os detalhes dos eventos de alteração de senha em um domínio e os grava no arquivo “C:\Windows Temp Filter.log”.

Filtro de senha usado para roubar credenciais
Filtro de senha usado para roubar credenciais (Laboratórios Sentinela)

Ao obter acesso aos sistemas vizinhos, o grupo de ameaças lança um carregador passivo neles que confirma que está na máquina correta antes de ativá-lo comparando o nome do host com um valor codificado.

Como o Sentinel Labs sugere, isso é uma indicação de que o invasor está gerando uma DLL exclusiva para cada uma das máquinas visadas, outra indicação de sua sofisticação e diligência.

O carregador usa o sniffer de pacotes WinDivert para interceptar o tráfego de entrada até obter a string necessária para a autodescriptografia e, em seguida, descompacta e inicia a carga útil (SNAC.log ou bdch.tmp).

Funções de carregador exportadas
Funções de carregador exportadas (Laboratórios Sentinela)

De acordo com o Sentinel Labs, as cargas úteis incluem variantes do PlugX e ShadowPad, dois backdoors que foram usados ​​por vários APTs chineses nos últimos anos. O objetivo final do agente da ameaça é extrair dados do maior número possível de sistemas.

O carregador também é visto em sistemas do governo dos EUA.

Uma descoberta interessante é que o carregador analisado pelo Sentinel Labs desta vez foi detectado novamente por pesquisadores da Avast em dezembro de 2021, que o descobriram em um sistema do governo dos EUA.

Isso pode significar que o Moshen Dragon tem vários alvos ou mudou seu foco, ou simplesmente que vários APTs chineses usam o carregador específico.

Considerando que esses grupos compartilham muitas semelhanças nas cargas úteis finais que implantam nos sistemas de destino, não seria surpreendente se eles também usassem cargas iguais ou semelhantes.

Must Read

%d bloggers like this: