Países asiáticos estão sendo alvos de uma campanha de espionagem que está em andamento desde o ano passado. O grupo de espionagem cibernética tem como alvo governos e organizações estatais em vários países.
Campanha de espionagem cibernética em países asiáticos
Atores de ameaças estão mirando organizações governamentais e estatais em vários países asiáticos como parte de uma campanha de espionagem cibernética, de acordo com uma análise publicada pela equipe Symantec Threat Hunter, parte da Broadcom Software.
Segundo a análise, “Um grupo distinto de invasores de espionagem que anteriormente estavam associados ao Trojan de acesso remoto ShadowPad (RAT) adotou um novo e diversificado conjunto de ferramentas para montar uma campanha contínua contra uma série de organizações governamentais e estatais em vários países asiáticos”.
A análise aponta ainda que “Os ataques, que estão em andamento desde pelo menos o início de 2021, parecem ter a coleta de inteligência como objetivo principal”.
O Security Affairs aponta que, os invasores empregaram uma ampla gama de ferramentas legítimas para distribuir malware em ataques direcionados a instituições governamentais relacionadas a finanças, aeroespacial e defesa, bem como empresas estatais de mídia, TI e telecomunicações.
Ação dos cibercriminosos
Os invasores usaram o carregamento lateral da biblioteca de vínculo dinâmico (DLL) para entregar o código malicioso. Os agentes de ameaças colocam uma DLL maliciosa em um diretório onde se espera que uma DLL legítima seja encontrada. Em seguida, o invasor executa um aplicativo legítimo que carrega e executa a carga maliciosa.
Os ataques estão visando versões antigas e desatualizadas de soluções de segurança, software gráfico e navegadores da Web que não possuem mitigações para ataques de carregamento lateral de DLL.
Os invasores também aproveitam esses pacotes de software legítimos para implantar ferramentas adicionais, que são usadas para realizar movimentos laterais.
Depois que os invasores estabelecem o acesso backdoor, eles usam o Mimikatz e o ProcDump para coletar credenciais e obter acesso mais profundo à rede de destino. Em alguns casos, os agentes de ameaças também despejam credenciais por meio do registro.
Além disso, os especialistas também observaram invasores usando o PsExec para executar versões antigas de software legítimo para carregar RATS prontos para uso. Os ciberespiões também usam várias outras ferramentas como o Ntdsutil, para montar instantâneos de servidores do Active Directory para obter acesso aos bancos de dados e arquivos de log do Active Directory e à ferramenta de linha de comando Dnscmd para enumerar informações de zona de rede.
Os especialistas não atribuíram a campanha de espionagem cibernética a um agente de ameaça específico, no entanto, notaram o uso do backdoor ShadowPad, que é comumente usado por grupos APT vinculados à China.
