Hackers chineses realizaram uma onda de ataques contra diversas empresas do complexo militar-industrial e instituições públicas no Afeganistão e na Europa. A onda de ataques vêm sendo direcionados desde janeiro de 2022 e o objetivo é roubar dados confidenciais usando simultaneamente seis backdoors diferentes.
Ataques dos hackers chineses
Os ataques foram atribuídos a um agente de ameaças ligado à China pela empresa russa de segurança cibernética Kaspersky que atribuiu os ataques “com alto grau de confiança”. O agente de ameças foi rastreado pela Proofpoint como TA428, citando sobreposições em táticas, técnicas e procedimentos (TTPs).
TA428, também rastreado sob os nomes Bronze Dudley, Temp.Hex e Vicious Panda, tem um histórico de entidades marcantes na Ucrânia, Rússia, Bielorrússia e Mongólia, lembra o The Hacker News.
Os alvos dos ataques
Os alvos dessa espionagem cibernética incluíram plantas industriais, escritórios de design e institutos de pesquisa, agências governamentais, ministérios e departamentos em vários países do Leste Europeu e no Afeganistão.
As cadeias de ataque envolvem a penetração nas redes de TI corporativas usando e-mails de phishing, incluindo alguns que fazem referência a informações não públicas pertencentes às organizações, para induzir os destinatários a abrir documentos desonestos do Microsoft Word. Esses arquivos de chamariz vêm com explorações para uma falha de corrupção de memória de 2017 no componente Equation Editor ( CVE-2017-11882 ) que pode levar à execução de código arbitrário nos sistemas afetados, levando à implantação de um backdoor chamado PortDoor.
O PortDoor foi empregado em ataques de spear phishing montados por hackers patrocinados pelo Estado chinês em abril de 2021 para invadir os sistemas de um contratado de defesa que projeta submarinos para a Marinha Russa.
O uso de seis bakdoors diferentes, segundo o Kaspersky, é provavelmente uma tentativa por parte dos agentes de ameaças de estabelecer canais redundantes para controlar hosts infectados caso um deles seja detectado e removido das redes. Os backdoors utilizados nos ataques incluem nccTrojan , Cotx, DNSep, Logtu e um malware anteriormente não documentado apelidado de CotSam, assim chamado devido às suas semelhanças com o Cotx.
Cada backdoor oferece ampla funcionalidade para comandar os sistemas e coletar dados confidenciais. Além dos backdoors citados acima, o Ladon também foi utilizado, uma estrutura de hackers de movimento lateral que também permite que o adversário escaneie dispositivos na rede, além de explorar vulnerabilidades de segurança neles para executar códigos maliciosos.
O The Hacker News lembra que, as descobertas chegam pouco mais de dois meses depois que os atores do Twisted Panda foram observados mirando em institutos de pesquisa na Rússia e na Bielorrússia para lançar um backdoor básico chamado Spinner.