CPR põe em destaque ataques de espionagem de origem chinesa contra entidades governamentais do sudeste asiático
A CPR está a seguir o Panda Sharp, uma operação de ciberespionagem chinesa que visa entidades governamentais do sudeste asiático
Em 2021, a Check Point Research publicou um relatório sobre um conjunto de ferramentas anteriormente não divulgado, utilizado pelo Sharp Panda, uma operação de ciberespionagem chinesa de longa duração que visava entidades governamentais do sudeste asiático. Desde então, temos continuado a acompanhar a utilização destas ferramentas em várias operações e em vários países do Sudeste Asiático, particularmente em nações com reivindicações territoriais semelhantes ou projetos de infraestruturas estratégicas como o Vietname, Tailândia e Indonésia.
Os atacantes utilizaram emails de spear-phishing para obter acesso inicial às redes visadas. Estes e-mails continham tipicamente documentos em formato Word com temáticas governamentais que utilizavam um modelo remoto para descarregar e executar um documento RTF malicioso, armado com o infame kit RoyalRoad.
Enquanto as campanhas anteriores do Sharp Panda entregavam um backdoor personalizado e único chamado VictoryDll, a carga neste ataque específico é uma nova versão do carregador do SoulSearcher, que eventualmente carrega a estrutura modular do Soul. Embora amostras deste quadro de 2017-2021 tenham sido previamente analisadas, este relatório é o olhar mais extenso até agora sobre a cadeia de infecção da família Soul malware, incluindo uma análise técnica completa da última versão, compilada em finais de 2022.
Figura 1 - A cadeia de infecção.
Embora o enquadramento do malware da Alma tenha sido anteriormente visto numa campanha de espionagem dirigida aos setores da defesa, dos cuidados de saúde e das TIC no Sudeste Asiático, nunca foi anteriormente atribuído ou ligado a qualquer grupo conhecido de atividade maliciosa. Embora não seja atualmente claro se o quadro Alma é utilizado por um único ator da ameaça, com base na nossa investigação podemos atribuir o quadro a um grupo APT de origem chinesa.
Nenhuma das análises e relatórios públicos anteriores atribuiu o quadro de Alma a qualquer país específico ou ator conhecido, embora os investigadores tenham notado a "arte do adversário competente" que eles acreditavam indicar um grupo "possivelmente patrocinado pelo Estado".
Nesta investigação, fornecemos uma explicação técnica detalhada de várias fases maliciosas utilizadas nesta cadeia de infecção e as últimas mudanças implementadas no quadro da Alma. Discutimos também os desafios na atribuição destes ataques.
A ligação entre as ferramentas e TTPs (Tácticas, Técnicas e Procedimentos) do Panda Sharp e os ataques anteriormente mencionados no Sudeste Asiático pode servir como mais um exemplo de características chaves inerentes às operações APT baseadas na China, tais como a partilha de ferramentas personalizadas entre grupos ou especialização de tarefas, quando uma entidade é responsável pela infecção inicial e outra efetua a recolha de informações reais.
As fases posteriores da cadeia de infecção na campanha descrita baseiam-se na Soul, uma estrutura modular de malware previamente não atribuída. Embora o quadro de Alma esteja em uso desde pelo menos 2017, os atores da ameaça por detrás dele têm estado constantemente a atualizar e a aperfeiçoar a sua arquitetura e capacidades. Com base nos resultados técnicos apresentados na nossa investigação, acreditamos que esta campanha é encenada por avançados agentes de ameaça apoiados pela China, cujas outras ferramentas, capacidades, e posição dentro da rede mais ampla de atividades de espionagem ainda estão por explorar.
Os clientes da Check Point permanecem protegidos das ameaças descritas neste blog, incluindo todas as suas variantes. A proteção e a emulação de ameaças são oferecidas como parte do Harmony Endpoint, a solução completa de segurança de endpoint da Check Point. A Check Point fornece protecção Zero-Day através da sua Rede, Nuvem, Utilizadores e Soluções de Segurança de Acesso.
Post A Comment:
0 comments: