O grupo chinês apelidado de Alloy Taurus está usando uma variante do Linux de um backdoor chamado PingPull, bem como uma nova ferramenta não documentada de codinome Sword2033. Esses hackers chineses usam variante Linux do PingPull em ataques direcionados.
Isso está de acordo com as descobertas da Unidade 42 da Palo Alto Networks, que descobriu atividades cibernéticas maliciosas recentes realizadas pelo grupo visando a África do Sul e o Nepal.
Alloy Taurus é o apelido com tema de constelação atribuído a um ator de ameaça conhecido por seus ataques direcionados a empresas de telecomunicações desde pelo menos 2012. Também é rastreado pela Microsoft como Granite Typhoon (anteriormente Gallium).
No mês passado, o adversário foi atribuído a uma campanha chamada Tainted Love visando provedores de telecomunicações no Oriente Médio como parte de uma operação mais ampla conhecida como Soft Cell.
Os recentes ataques de espionagem cibernética montados pela Alloy Taurus também ampliaram sua pegada de vitimologia para incluir instituições financeiras e entidades governamentais.
PingPull, documentado pela primeira vez pela Unidade 42 em junho de 2022, é um trojan de acesso remoto que emprega o Internet Control Message Protocol (ICMP) para comunicações de comando e controle (C2).
Hackers chineses usam variante Linux do PingPull em ataques direcionados
O tipo Linux do malware, que foi carregado no VirusTotal em 7 de março de 2023, possui funcionalidades semelhantes às de sua contraparte do Windows, permitindo realizar operações de arquivo e executar comandos arbitrários transmitindo do servidor C2 um único caractere maiúsculo entre A e K e M.
“Após a execução, esta amostra é configurada para se comunicar com o domínio yrhsywu2009.zapto[.]org pela porta 8443 para C2”, disse a Unidade 42. “Ele usa uma biblioteca OpenSSL (OpenSSL 0.9.8e) vinculada estaticamente para interagir com o domínio por HTTPS.”
PingPull LinuxName
Curiosamente, a análise do PingPull das instruções C2 espelha a do China Chopper , um shell da web amplamente usado por agentes de ameaças chineses, sugerindo que o agente de ameaças está reaproveitando o código-fonte existente para criar ferramentas personalizadas.
Um exame mais detalhado do domínio mencionado também revelou a existência de outro artefato ELF (ou seja, Sword2033) que oferece suporte a três funções básicas, incluindo upload e exfiltração de arquivos de e para o sistema e execução de comandos.
Mais detalhes sobre ataques dos Hackers chineses com variante Linux do PingPull
Os links do malware para Alloy Taurus decorrem do fato de que o domínio foi resolvido para um endereço IP que foi previamente identificado como um indicador ativo de comprometimento (IoC) associado a uma campanha de 2021 voltada para empresas que operam no Sudeste Asiático, Europa e África.
O alvo da África do Sul, de acordo com a empresa de segurança cibernética, ocorre no contexto de o país realizar um exercício naval conjunto de 10 dias com a Rússia e a China no início deste ano.
“A Alloy Taurus continua sendo uma ameaça ativa para organizações de telecomunicações, finanças e governo no sudeste da Ásia, Europa e África”, disse a Unit 42.
“A identificação de uma variante do Linux do malware PingPull, bem como o uso recente do backdoor Sword2033, sugere que o grupo continua a desenvolver suas operações para apoiar suas atividades de espionagem”.
Achou este artigo interessante? Siga-nos no Twitter?e LinkedIn para ler mais conteúdo exclusivo que publicamos.