O grupo de hackers conhecido como APT41, também identificado por nomes como Brass Typhoon, Earth Baku, Wicked Panda e Winnti, está associado a um ataque cibernético sofisticado direcionado à indústria de jogos e apostas.
O ataque cibernético do APT41 ao setor de jogos
De acordo com Ido Naor, cofundador e CEO da empresa de cibersegurança Security Joes, os atacantes passaram um período de pelo menos seis meses coletando informações valiosas de uma empresa alvo, como configurações de rede, senhas de usuários e segredos do processo LSASS.
“Durante a intrusão, os atacantes atualizaram continuamente seu conjunto de ferramentas com base na resposta da equipe de segurança. Observando as ações dos defensores, eles alteraram suas estratégias e ferramentas para evitar detecções e manter o acesso contínuo à rede comprometida,” explicou Naor.
O ataque, que se estendeu por quase nove meses neste ano e focou um dos clientes da empresa, apresenta semelhanças com um conjunto de intrusões rastreadas pela Sophos sob a designação Operação Crimson Palace.
Naor ressaltou que a resposta ao incidente começou há quatro meses, mencionando que “esses ataques dependem de tomadores de decisão patrocinados pelo estado. Desta vez, suspeitamos com alta confiança que a APT41 estava em busca de ganhos financeiros.”
Táticas Avançadas
A campanha foi planejada para ser discreta, utilizando uma série de táticas que permitem contornar a segurança instalada no ambiente, além de coletar informações críticas e estabelecer canais encobertos para acesso remoto persistente.
A Security Joes descreveu a APT41 como um grupo “altamente habilidoso e metódico”, destacando sua capacidade de realizar ataques de espionagem e comprometer a cadeia de suprimentos, resultando em roubo de propriedade intelectual e intrusões motivadas financeiramente, como ransomware e mineração de criptomoeda.
Embora o vetor inicial de acesso utilizado no ataque ainda seja desconhecido, existem indícios de que possam ter usado e-mails de spear-phishing, dada a ausência de vulnerabilidades ativas em aplicações web expostas ou comprometimentos na cadeia de suprimentos.
Uma vez dentro da infraestrutura da empresa alvo, os atacantes executaram um ataque DCSync para coletar hashes de senhas de contas de serviço e administração, expandindo seu acesso. Com essas credenciais, conseguiram manter o controle sobre a rede, focando especialmente em contas administrativas e de desenvolvedores.
Os hackers realizaram atividades de reconhecimento e pós-exploração de maneira metódica, frequentemente ajustando suas ferramentas em resposta às ações defensivas para aumentar seus privilégios e baixar e executar payloads adicionais.
Entre as técnicas utilizadas estão a Hijacking de DLLs Phantom e o uso do utilitário legítimo wmic.exe, além de abusar de seu acesso a contas de serviço com privilégios de administrador para acionar a execução de código malicioso.
Intrusão e Persistência
Uma etapa posterior do ataque envolveu um arquivo DLL malicioso chamado TSVIPSrv.dll, recuperado via protocolo SMB, estabelecendo contato com um servidor de comando e controle (C2) codificado.
Se o servidor C2 codificado falhar, o implante tenta atualizar suas informações de C2 extraindo dados de usuários do GitHub. O malware analisa o HTML retornado da consulta ao GitHub, buscando sequências de palavras capitalizadas separadas apenas por espaços, gerando assim uma string de 8 caracteres que codifica o endereço IP do novo servidor C2 a ser utilizado no ataque.
O primeiro contato com o servidor C2 permite o perfilamento do sistema infectado e a busca por mais malware a ser executado via conexão de soquete.
A Security Joes informou que os atores de ameaça se mantiveram em silêncio por algumas semanas após a detecção de suas atividades, mas eventualmente retornaram com uma abordagem reformulada para executar um código JavaScript altamente ofuscado contido em uma versão modificada de um arquivo XSL (“texttable.xsl”) usando o LOLBIN wmic.exe.
“Quando o comando WMIC.exe MEMORYCHIP GET é acionado, ele carrega indiretamente o arquivo texttable.xsl para formatar a saída, forçando a execução do código JavaScript malicioso injetado pelo atacante,” explicaram os pesquisadores.
O JavaScript funciona como um downloader, utilizando o domínio time.qnapntp[.]com como servidor C2 para recuperar um payload subsequente que coleta informações da máquina e as envia de volta ao servidor, sujeito a certos critérios de filtragem que provavelmente visam apenas máquinas de interesse para o ator de ameaça.
“Uma das características mais marcantes no código é a seleção deliberada de máquinas com endereços IP que contêm a substring ‘10.20.22’,” afirmaram os pesquisadores. “Isso evidencia quais dispositivos são valiosos para o atacante, ou seja, aqueles nas sub-redes 10.20.22[0-9].[0-255]. Ao correlacionar essa informação com os registros de rede e os endereços IP dos dispositivos onde o arquivo foi encontrado, concluímos que o atacante usava esse mecanismo de filtragem para garantir que apenas dispositivos dentro da sub-rede VPN fossem afetados.”