Pesquisadores da empresa de segurança cibernética Check Point publicaram um importante alerta sobre uma nova arma de espionagem cibernética sendo usada por um grupo chinês de ameaças persistentes avançadas (APT). Isso ocorreu após os pesquisadores terem identificado e bloqueado uma operação em andamento cujo alvo é um governo do Sudeste Asiático.
De acordo com investigação da equipe da CPR, ao longo de três anos, os atacantes desenvolveram um backdoor, até então desconhecido, no software Windows. Depois que o backdoor é instalado, os atacantes podem coletar quase todas as informações que desejarem, bem como fazer capturas de tela, edição de arquivos e execução de comandos ou de um malware adicional no computador pessoal de uma vítima.
Uso de e-mail para iniciar a cadeia de infecção
A campanha dos atacantes começou com o envio de documentos maliciosos (.docx) a diversos funcionários de uma entidade governamental no Sudeste Asiático. Esses e-mails foram falsificados para parecer que as mensagens tivessem sido enviadas a partir de outras entidades relacionadas ao governo.
Os anexos desses e-mails eram cópias transformadas em armas de espionagem cibernética, como documentos oficiais de aparência legítima, e usavam a técnica de modelo remoto (remote template) para extrair o malware de estágio seguinte do servidor do atacante, incluindo um código malicioso. O modelo remoto é um recurso da Microsoft que permite obter um modelo para o documento de um servidor remoto sempre que o usuário abrir o arquivo.
A cadeia de infecção pode ser resumida nas seguintes etapas:
1 – A vítima recebe um e-mail com um documento anexado, supostamente enviado por outro ministério ou comissão governamental.
2 – Ao abrir o documento, a vítima executa uma cadeia de eventos que eventualmente carrega o backdoor .
3 – O backdoor coleta todas as informações que os atacantes desejam, incluindo a listagem dos arquivos e programas ativos no PC, permitindo o acesso remoto ao atacante.
Os atacantes desenvolveram um novo backdoor, um tipo de malware que nega os procedimentos normais de autenticação para acessar um sistema. Com o nome interno “VictoryDll_x86.dll”, o módulo backdoor contém malware personalizado com os seguintes recursos:
Excluir/Criar/Renomear/Ler/Gravar Arquivos e obter atributos de arquivos, obter informações de processos e serviços, obter capturas de tela, Ler/Escrever – executar comandos, criar/Encerrar Processo, obter tabelas TCP/UDP, obter informações das chaves de registro, obter títulos de todas as janelas de nível superior, obter as informações do computador pessoal da vítima: nome do computador, nome do usuário, endereço do gateway, dados do adaptador, versão do Windows (versão principal/secundária e número da compilação) e tipo de usuário; desligar o PC.
A Check Point Research atribui, com nível de confiança de médio a alto, a operação de espionagem contínua a um grupo APT chinês com base nos seguintes indicadores:
Os servidores de comando e controle (C&C) estavam em comunicação apenas entre 01:00 e 08:00 UTC (Horário Universal Coordenado), que a CPR acredita ser o horário de trabalho no país alvo dos atacantes, portanto, a série de possíveis origens deste ataque é limitada.
Os servidores C&C não retornaram nenhuma carga útil (payload), mesmo no decorrer do horário de trabalho, especificamente durante o período entre 1º de maio e 5 de maio – feriados do Dia do Trabalho na China.
Algumas versões de teste do backdoor continham conectividade com a Internet, verificado com https://www.baidu.com/- um dos principais sites chineses.
O kit de exploração RoyalRoad RTF, usado como arma para os documentos no ataque, está associado principalmente a grupos APT chineses.
Algumas versões de teste do backdoor de 2018 foram enviadas para o VirusTotal da China.
Evitar a detecção
Foram aplicados esforços significativos na operação de espionagem para evitar a detecção:
Por um lado, o servidor de comando e controle operava em uma janela diária limitada, que se correlacionava com as horas de trabalho na China, e a infraestrutura foi alterada várias vezes ao longo da campanha.
Além disso, o malware backdoor estava em desenvolvimento desde 2017; mas, com o tempo, o malware foi dividido em vários estágios, a fim de dificultar a análise e detecção.
“Todas as evidências apontam para o fato de que estamos lidando com uma operação altamente organizada que colocou um esforço significativo para permanecer sob o radar. Há poucas semanas, os atacantes usavam e-mails de spear-phishing, misturados com versões como documentos com temas do governo, para tentar criar uma base para o Ministério das Relações Exteriores do país alvo”, explica Lotem Finkelsteen, head de Inteligência de Ameaças da Check Point Software Technologies.
Segundo Finkelsteen, isso significa que, primeiramente, os atacantes tiveram de atingir outro departamento dentro do estado visado, roubando e transformando documentos em armas para uso contra o Ministério das Relações Exteriores. Ao todo, os atacantes que podem ser de um grupo APT chinês foram muito sistemáticos em sua abordagem.
Em última análise, nossa investigação levou à descoberta de um novo backdoor do Windows, uma nova arma de espionagem cibernética, que o grupo APT chinês vem desenvolvendo desde 2017. O backdoor foi formado e retocado várias vezes ao longo de três anos, antes de ser usado em seu estado natural. Esse backdoor é muito mais intrusivo e capaz de coletar uma grande quantidade de dados de um computador infectado. Aprendemos que os atacantes não estão apenas interessados ??em dados ‘frios’, mas também no que está acontecendo no computador pessoal da vítima a qualquer momento, resultando em espionagem ao vivo. Embora tenhamos bloqueado a operação de espionagem para um governo do Sudeste Asiático, é possível que o grupo APT esteja usando sua nova arma de espionagem cibernética em outros alvos ao redor do mundo, finaliza Finkelsteen.
A Check Point Harmony é a primeira solução de segurança unificada disponível no momento no mercado para proteção de usuários, dispositivos e acesso, e tem a capacidade de bloquear ataques como esse descrito acima desde a primeira etapa. Esta solução fecha as brechas de segurança que geralmente são deixadas para trás por vários produtos pontuais e de diferentes fornecedores de segurança, bloqueando todas as técnicas de exploração em todos os vetores de ataque.