Em 2024, um grupo de atividades cibernéticas vinculadas à China iniciou uma série de ataques, aproveitando uma falha de segurança crítica descoberta nos produtos de segurança de gateway de rede Check Point. Conhecida como CVE-2024-24919, essa vulnerabilidade foi corrigida apenas em outubro de 2024, mas já havia sido explorada por atacantes entre junho e outubro daquele ano, comprometendo diversas organizações, especialmente aquelas do setor de saúde, na Europa.
Ataques cibernéticos vinculados à China exploram vulnerabilidade crítica em produtos de segurança Check Point
A falha permitiu que os atacantes acessassem redes corporativas de maneira legítima, utilizando credenciais roubadas para se infiltrar em sistemas protegidos. Esses atacantes implantaram uma combinação de malware avançado, como o ShadowPad e o PlugX, além de um ransomware conhecido como NailaoLocker, que visava não só a espionagem, mas também o lucro financeiro rápido.
Campanha de espionagem e ransomware: A tática e os alvos principais
A campanha cibernética, identificada pelo CERT da Orange Cyberdefense como “Green Nailao”, seguiu um padrão bem definido, onde os atacantes aproveitaram o erro do Check Point para comprometer as redes. Inicialmente, a exploração da falha possibilitou o roubo de credenciais e a utilização de uma conta legítima para acessar as VPNs das vítimas. Esse acesso inicial foi apenas o começo de uma série de movimentos laterais dentro das redes comprometidas.
Após obter acesso à rede, os atacantes realizaram movimentações laterais utilizando o protocolo de área de trabalho remota (RDP), um dos meios mais comuns para escalonamento de privilégios e para a exploração de sistemas críticos. Esse movimento lateral permitiu que os invasores obtivessem privilégios elevados, o que facilitou a execução de binários legítimos no sistema, como o “logger.exe”. Esse arquivo aparentemente inofensivo, no entanto, servia de carregador para uma versão atualizada do malware ShadowPad, um implante utilizado exclusivamente por grupos de espionagem alinhados com o governo chinês.
ShadowPad e PlugX: Ferramentas sofisticadas de espionagem e invasão
Tanto o ShadowPad quanto o PlugX são malwares conhecidos por sua sofisticação, sendo amplamente utilizados em campanhas de ciberespionagem direcionadas a organizações estratégicas e sensíveis. O ShadowPad, em particular, possui técnicas avançadas de ofuscação e antidepuração, tornando-se difícil de detectar e eliminar por soluções de segurança convencionais. Sua principal função é permitir o acesso remoto persistente aos sistemas comprometidos, facilitando a exfiltração de dados sensíveis e a realização de outras ações ofensivas.
Por sua vez, o PlugX também se destaca pelo uso de técnicas de carregamento lateral de DLL, onde arquivos maliciosos são carregados discretamente dentro de processos legítimos. Esses implantes não só estabelecem backdoors, mas também ajudam os atacantes a se moverem lateralmente nas redes e a comprometerem ainda mais sistemas.
Notícias Relacionadas
Ataque cibernético
Grupo chinês ataca governo russo com nova versão do malware MysterySnail
Hackers chineses do grupo IronHusky lançam ataques contra alvos russos e mongóis com uma nova variante do malware MysterySnail RAT, destacando o avanço das táticas cibernéticas.
Ameaça persistente
Cadeia de infecção em múltiplos estágios dribla defesas com Agent Tesla e XLoader
Campanha de malware em estágios sequenciais usa e-mails falsos e scripts ofuscados para implantar RATs como Agent Tesla, Remcos e XLoader, escapando da detecção tradicional.
Exploração de dados e uso do ransomware NailaoLocker
Além de suas atividades de espionagem, os atacantes também demonstraram um interesse considerável em obter lucros rápidos por meio do uso de ransomware. O NailaoLocker, um ransomware simples e pouco sofisticado, foi usado para criptografar arquivos nas máquinas das vítimas e exigir resgates em Bitcoin. O malware não verificava redes compartilhadas nem interrompia processos críticos para garantir uma criptografia eficaz, evidenciando sua falta de sofisticação. Mesmo assim, ele conseguiu realizar sua tarefa, criptografando arquivos essenciais e emitindo uma nota de resgate para pressionar as vítimas a pagar.
A utilização do NailaoLocker em conjunto com o ShadowPad sugere que a campanha de ataque tinha múltiplos objetivos: além de espionagem, os agentes da ameaça estavam dispostos a aproveitar qualquer oportunidade de lucro imediato, usando o ransomware como uma ferramenta complementar para maximizar seus ganhos. A combinação de malwares sofisticados com ataques de ransomware de baixo custo reflete uma abordagem oportunista por parte dos atacantes.
A ameaça persistente e os indícios de um agente patrocinado pela China
A Orange Cyberdefense concluiu, com um grau médio de certeza, que os ataques estavam relacionados a um agente de ameaça patrocinado pela China, com base no uso de implantes como o ShadowPad e técnicas de carregamento lateral de DLL, que são características frequentemente associadas a grupos de espionagem chineses. Além disso, a campanha também usou o arquivo “usysdiag.exe” para carregar cargas úteis, uma técnica já observada em ataques realizados por outro grupo vinculado à China, conhecido como Cluster Alpha, conforme rastreado pela Sophos.
Conclusão: A busca por lucro e o risco contínuo
Embora as intenções exatas por trás dessa campanha de ataque ainda não estejam completamente claras, é evidente que os agentes da ameaça estavam em busca de lucro rápido, utilizando o ransomware como uma ferramenta adicional para complementar suas atividades de espionagem. Isso demonstra como, em muitas situações, campanhas de ciberataques podem ter múltiplos objetivos e podem evoluir ao longo do tempo.
Essas operações não são apenas uma ameaça para as organizações atacadas, mas também um alerta para empresas de todos os setores, principalmente aquelas que lidam com informações sensíveis e críticas. A exposição a esse tipo de ataque continua a ser uma preocupação crescente no cenário de segurança cibernética global.
