Ataque cibernético

APT-K-47 utiliza iscas temáticas de Hajj para entregar malware avançado Asyncshell

APT-K-47, também conhecida como Mysterious Elephant, utiliza iscas temáticas de Hajj para distribuir malware Asyncshell avançado, visando principalmente entidades paquistanesas.

nova-variante-de-malware-gootloader-evita-deteccao-e-se-espalha-rapidamente

O grupo de cibercriminosos Mysterious Elephant, também conhecido como APT-K-47, tem se destacado por usar táticas sofisticadas para atingir organizações, especialmente no Paquistão. Recentemente, uma nova campanha foi identificada, na qual o grupo utiliza iscas relacionadas ao Hajj, um evento religioso significativo, para distribuir uma versão avançada do malware Asyncshell.

APT-K-47 e o uso de iscas temáticas de Hajj para disseminação do malware Asyncshell

De acordo com uma análise da equipe Knownsec 404, a campanha se utiliza de um arquivo CHM (Microsoft Compiled HTML Help), disfarçado como um documento sobre a política do Hajj em 2024. Ao ser executado, o arquivo apresenta um PDF legítimo, hospedado no site do Ministério de Assuntos Religiosos e Harmonia Inter-religiosa do Paquistão. No entanto, em segundo plano, o malware é ativado silenciosamente, permitindo que o atacante ganhe controle remoto do sistema da vítima.

APT-K-47 Hajj-Asyncshell malware

O malware Asyncshell, utilizado desde meados de 2023 por este grupo, tem se mostrado cada vez mais sofisticado. Inicialmente simples, o malware evoluiu para usar canais de comunicação mais seguros, como HTTPS, para se comunicar com o servidor de comando e controle (C2). Além disso, novas versões do Asyncshell passaram a utilizar um script em Visual Basic para exibir o documento falso e lançar o ataque através de uma tarefa agendada no sistema.

Embora o vetor exato de acesso inicial não tenha sido identificado, a estratégia mais provável envolve o uso de e-mails de phishing, que entregam um arquivo ZIP contendo o CHM malicioso e um executável oculto. O uso do WinRAR e sua falha de segurança (CVE-2023-38831) foi identificado como parte do processo de infecção, facilitando a exploração do sistema alvo.

O grupo APT-K-47, que já esteve associado a campanhas de spear-phishing em 2023, utiliza uma infraestrutura de comando e controle dinâmica, mudando constantemente os servidores de controle, o que dificulta a detecção e neutralização dos ataques. Através dessas atualizações constantes no código e na sequência do ataque, o grupo demonstra uma evolução no uso de Asyncshell como uma ferramenta-chave para suas operações cibernéticas.

Acesse a versão completa
Sair da versão mobile