A divisão de Inteligência em Ameaças da Check Point Software, conhecida como Check Point Research (CPR), identificou uma operação de ciberespionagem em curso, direcionada a entidades governamentais na África e no Caribe. A operação é atribuída ao agente de ameaças chinês Sharp Dragon (anteriormente chamado de Sharp Panda). A campanha emprega o Cobalt Strike Beacon como payload, permitindo funcionalidades de backdoor, como comunicação C2 e execução de comandos, ao mesmo tempo que reduz a exposição de suas ferramentas personalizadas. Esta abordagem sofisticada sugere um entendimento mais aprofundado de seus alvos.
O que é o Cobalt Strike Beacon?
O Cobalt Strike Beacon é um componente essencial do Cobalt Strike, um produto de teste de penetração. Originalmente, foi desenvolvido por especialistas em segurança cibernética para simular e prevenir invasões. No entanto, acabou sendo usado indevidamente e agora é cada vez mais empregado para realizar ataques reais de malware e ransomware.
O Beacon é um agente que é injetado no computador-alvo para criar um canal de comunicação secreto. Isso permite que o servidor do Cobalt Strike, controlado pelo hacker, envie comandos para o Beacon. Os possíveis comandos incluem registradores de teclado, invasão da webcam e instalação de ransomware ou outro malware no computador. O Beacon também é capaz de transmitir os dados roubados de volta para o servidor.
Além disso, o Beacon consegue fazer o reconhecimento, o que significa que ele verifica o alvo para identificar o tipo e a versão do software em uso. O objetivo é encontrar qualquer software com vulnerabilidades que possa ser explorado com facilidade, o que é muito útil para diferentes tipos de invasores que tentam obter acesso não autorizado ao sistema.
Esses recursos do Cobalt Strike permitem que organizações simulem uma invasão secreta em suas redes por muito tempo, uma técnica conhecida como ameaça persistente avançada (Advanced Persistent Threat, APT). Ao descobrir quais tipos de ataque poderiam ser realizados por esse invasor “silencioso”, a organização descobre os pontos que precisam ser fortalecidos em sua rede.
Principais descobertas
Os pesquisadores da CPR destacam:
- As operações do Sharp Dragon persistem, agora com um foco ampliado para novas regiões: África e Caribe.
- O Sharp Dragon se aproveita de entidades governamentais confiáveis para infectar novas organizações e estabelecer pontos de entrada iniciais em territórios anteriormente não explorados.
- Os agentes de ameaças demonstram maior prudência na seleção de seus alvos, intensificando seus esforços de reconhecimento e adotando o Cobalt Strike Beacon em vez de backdoors personalizados, evidenciando uma abordagem de infiltração mais sofisticada.
- Durante suas operações, o Sharp Dragon explorou vulnerabilidades zero-day para comprometer infraestruturas que posteriormente foram usadas como infraestruturas de Comando e Controle (C&C).
Análise aprofundada
Desde 2021, a CPR tem acompanhado de perto as atividades do Sharp Dragon, que envolvem principalmente e-mails de phishing altamente direcionados, resultando na implantação de malwares como VictoryDLL ou o framework Soul. No entanto, uma mudança significativa ocorreu nos últimos meses, com o Sharp Dragon redirecionando parte de seu foco da região da Ásia-Pacífico para entidades governamentais na África e no Caribe.
Essa expansão está alinhada com seu modus operandi, caracterizado pelo comprometimento de contas de e-mail de alto perfil para disseminar documentos de phishing, agora armados com o Cobalt Strike Beacon para capacidades de infiltração aprimoradas.
De acordo com Sergey Shykevich, gerente de Inteligência de Ameaças da Check Point Research (CPR), “a expansão do Sharp Dragon para a África e o Caribe destaca uma mudança nos alvos desse agente e seus pontos de interesse. A adoção do Cobalt Strike Beacon reflete uma evolução em suas táticas, sinalizando a necessidade de maior vigilância entre as organizações nessas regiões”.
Essas atividades são consistentes com o modus operandi estabelecido do Sharp Dragon, caracterizado pelo comprometimento de contas de e-mail de alto perfil para disseminar documentos de phishing utilizando um template remoto armado com o RoyalRoad. No entanto, ao contrário das táticas anteriores, essas iscas agora implantam o Cobalt Strike Beacon, indicando uma adaptação estratégica para aprimorar suas capacidades de infiltração.
Cadeia de infecção
Primeiro, os agentes de ameaças utilizam e-mails de phishing altamente personalizados, muitas vezes disfarçados como correspondências legítimas, para atrair as vítimas a abrirem anexos maliciosos ou clicarem em links maliciosos.
Esses anexos ou links executam cargas úteis (payload), que evoluíram ao longo do tempo de malwares personalizados, como VictoryDLL e o framework Soul, para ferramentas mais amplamente utilizadas, como o Cobalt Strike Beacon.
Após a execução bem-sucedida, o malware estabelece um ponto de entrada no sistema da vítima, permitindo que os agentes de ameaças realizem reconhecimento e coletem informações sobre o ambiente alvo. Esta fase de reconhecimento permite ao Sharp Dragon identificar alvos de alto valor e adaptar suas estratégias de ataque de acordo com isso.
Essa cadeia de infecção destaca a abordagem sofisticada do Sharp Dragon para operações cibernéticas, enfatizando o planejamento cuidadoso, reconhecimento e exploração de vulnerabilidades para alcançar seus objetivos enquanto minimizam a detecção.
Táticas, técnicas e procedimentos
Embora a funcionalidade principal permaneça consistente, os pesquisadores da Check Point Research identificaram mudanças em suas Táticas, Técnicas e Procedimentos (TTPs). Essas mudanças refletem uma seleção de alvos mais cuidadosa e uma maior consciência de segurança operacional (OPSEC).
Algumas mudanças incluem:
Coleta Ampla de Reconhecimento: O downloader 5.t agora realiza um reconhecimento mais completo nos sistemas-alvo, incluindo a análise de listas de processos e a enumeração de pastas, levando a uma seleção mais criteriosa das potenciais vítimas.
Payload do Cobalt Strike: Sharp Dragon passou de usar VictoryDll e o framework SoulSearcher para adotar o Cobalt Strike Beacon como a carga útil para o downloader 5.t, proporcionando funcionalidades de backdoor enquanto minimiza a exposição de ferramentas personalizadas, sugerindo uma abordagem refinada para a avaliação de alvos e minimização de exposição.
Carregadores EXE: Observações recentes indicam uma mudança notável nos downloaders 5.t, com alguns dos últimos exemplos incorporando carregadores baseados em EXE em vez dos típicos baseados em DLL, destacando a evolução dinâmica de suas estratégias. Além disso, o Sharp Dragon introduziu um novo executável, mudando da cadeia de infecção baseada em documentos do Word para executáveis disfarçados como documentos, semelhante ao método anterior, mas aprimorando a persistência através de tarefas agendadas.
Infraestrutura Comprometida: Sharp Dragon muda de servidores dedicados para usar servidores comprometidos como servidores de Comando e Controle (C&C), especificamente utilizando a vulnerabilidade CVE-2023-0669, que é uma falha na plataforma GoAnywhere que permite injeção de comandos de pré-autenticação.
“A expansão estratégica do Sharp Dragon para a África e o Caribe representa um esforço mais amplo dos atores cibernéticos chineses para aumentar sua presença e influência nessas regiões. As táticas em evolução do Sharp Dragon destacam a natureza dinâmica das ameaças cibernéticas, especialmente em relação a regiões historicamente negligenciadas. Essas descobertas só reforçam a importância de medidas de cibersegurança robustas e de prevenção, por meio de soluções que ofereçam proteção abrangente contra ameaças emergentes”, conclui Sergey Shykevich.