APT chinês usa carregamento lateral DLL em ataques a Mianmar

Views: 114
0 0
Read Time:1 Minute, 42 Second

Um ator de ameaças chinês está aproveitando o carregamento lateral do DLL para a execução de código malicioso em ataques direcionados a organizações em Mianmar, revelam pesquisadores de segurança da Sophos.

O carregamento lateral DLL é uma técnica que usa DLLs maliciosos que falsificam os legítimos, e que conta com aplicativos legítimos do Windows para carregar e executar o código.

O método tem sido abusado por muitos grupos avançados de ameaças persistentes (APT), a maioria operando fora da China, com os primeiros ataques observados em 2013. Grupos de crimes cibernéticos também adotaram a técnica.

Como parte dos ataques recentes, o carregamento lateral DLL foi usado para carregar códigos que incluíam cordas de texto simples em inglês mal escritas com mensagens politicamente inspiradas. Comum a todas as amostras observadas foi o uso do mesmo caminho de banco de dados de programa (PDB), algumas delas contendo o nome da pasta “KilllSomeOne”.

Os ataques, diz Sophos, tinham como alvo organizações em Mianmar,tanto entidades não governamentais quanto outras organizações.

Os alvos e as características do malware empregado levaram os pesquisadores de segurança à conclusão de que os ataques foram lançados por um ator de ameaças chinês.

Os pesquisadores identificaram quatro cenários diferentes de side-loading que o adversário usou. Em dois deles, uma simples carga de shell foi entregue, com malware mais complexo entregue nos outros dois. Em alguns ataques, foram utilizadas combinações dos dois cenários.

A análise dos ataques também revelou um esforço para ocultar a execução, bem como tentativas aparentes de remover infecções anteriores com o malware PlugX.

Os hackers por trás desses ataques, observa Sophos, não são altamente qualificados, nem abaixo da média. Eles usaram implementações simples em codificação e mensagens escondidas no código que se assemelham às atividades das crianças de script, enquanto seu direcionamento e implantação se assemelham aos de grupos APT estabelecidos.

“Com base em nossa análise, não está claro se esse grupo voltará a implantar mais tradicionais como o PlugX ou continuará com seu próprio código”, observa Sophos.

FONTE: SECURITY WEEK

Previous post Hackers patrocinados pelo estado e gangues de ransomware diversificam táticas para infligir mais danos, revela estudo da Accenture
Next post Transformação digital significa que a segurança também deve se transformar

Deixe um comentário