HomePtNotíciaHackers apoiados pelo Estado chinês agora têm como alvo funcionários do Estado...

Hackers apoiados pelo Estado chinês agora têm como alvo funcionários do Estado russo


Pesquisadores de segurança que analisam uma campanha de phishing contra autoridades russas encontraram evidências que apontam para o agente de ameaças baseado na China rastreado como Mustang Panda (também conhecido como HoneyMyte e Bronze President).

Anteriormente, o grupo de ameaças foi visto orquestrando campanhas de coleta de inteligência contra alvos europeus, empregando iscas de phishing inspiradas na invasão russa da Ucrânia.

A Rússia sempre permaneceu na mira do grupo de ameaça, embora em escala limitada, já que os dois países geralmente mantêm boas relações geopolíticas.

Em um relatório hoje, a empresa de segurança cibernética Secureworks apresenta novas evidências de tal orientação, que pode não ser tão limitada quanto se pensava anteriormente.

Phishing de autoridades russas

Atores de ameaças empregam iscas de phishing baseadas em documentos em inglês supostamente publicados pela União Europeia, contendo detalhes de sanções contra a Bielorrússia.

O documento chamariz serviu aos propósitos.
O documento chamariz serviu aos propósitos. (trabalhos seguros)

Embora os arquivos enviados sejam executáveis ​​do Windows (.exe), eles aparecem como arquivos PDF e têm o nome de uma cidade russa perto da fronteira chinesa, Blagoveshchensk.

Isso sugere que os alvos desta campanha são o pessoal russo na região, apoiando ainda mais a teoria de que a China pode estar mudando para novos alvos de coleta de inteligência.

O lançamento do executável gera uma série de arquivos adicionais, incluindo o documento de chamariz da UE mencionado acima, um carregador de DLL malicioso, uma variante criptografada do PlugX e um arquivo .EXE assinado digitalmente.

Os quatro arquivos baixados pelo executável
Os quatro arquivos baixados pelo executável (trabalhos seguros)

Carregando PlugX

O carregador de DLL executa o seqüestro de ordem de pesquisa de DLL usando um arquivo assinado legítimo (da Global Graphics Software Ltd, com sede no Reino Unido), que é vulnerável a esse truque. O método é típico do Mustang Panda, usado para executar a carga útil do malware PlugX.

Essa abordagem permite que os agentes de ameaças carreguem seu carregador de DLL DocConvDll.dll mal-intencionado de maneira furtiva, que não aciona soluções de segurança no sistema.

O carregador de DLL exporta oito funções, mas apenas uma delas vem com instruções relevantes. Parece que isso é para evitar a análise automática.

As oito funções exportadas
As oito funções exportadas (trabalhos seguros)

A função ‘createSystemFontsUsingEDL’ carrega, descriptografa e executa o arquivo FontLog.dat, que é o payload PlugX.

Embora a amostra PlugX analisada pelo Secureworks esteja corrompida, seu código aponta para sideload de DLL e execução de malware de um diretório recém-criado, em “C:\ProgramData\Fuji\Xerox\Fonts\”.

O servidor de teste usado nesta campanha é o mesmo que apoiou a campanha dos diplomatas da UE, e também hospeda o zyber-i.[.]com que estava envolvido nessa operação.

Vale a pena notar que o PlugX tem sido usado por tantos adversários que a atribuição com base neste malware é impossível.

No entanto, a Secureworks conectou esta campanha ao Bronze President/Mustang Panda com base na infraestrutura usada, que foi atribuída a esse ator em particular no passado.

panorama

Embora o Mustang Panda continue a implantar as mesmas variedades de malware e ferramentas de carga útil, e embora partes de sua infraestrutura se sobreponham às campanhas anteriores, o agente da ameaça permanece relativamente furtivo e poderoso.

Seu foco parece estar na atualização de iscas de phishing e na criação de e-mails especializados para operações altamente direcionadas, de modo que a coleta de inteligência está mudando constantemente.

Por enquanto, usar os indicadores de comprometimento fornecidos para e-mail e defesa de rede tornaria a maioria das tentativas de infecção de agentes de ameaças ineficazes.

Must Read

%d bloggers like this: