0
0
Um ator de ameaças chinês está aproveitando o carregamento lateral do DLL para a execução de código malicioso em ataques direcionados a organizações em Mianmar, revelam pesquisadores de segurança da Sophos.
O carregamento lateral DLL é uma técnica que usa DLLs maliciosos que falsificam os legítimos, e que conta com aplicativos legítimos do Windows para carregar e executar o código.
O método tem sido abusado por muitos grupos avançados de ameaças persistentes (APT), a maioria operando fora da China, com os primeiros ataques observados em 2013. Grupos de crimes cibernéticos também adotaram a técnica.
Como parte dos ataques recentes, o carregamento lateral DLL foi usado para carregar códigos que incluíam cordas de texto simples em inglês mal escritas com mensagens politicamente inspiradas. Comum a todas as amostras observadas foi o uso do mesmo caminho de banco de dados de programa (PDB), algumas delas contendo o nome da pasta “KilllSomeOne”.
Os ataques, diz Sophos, tinham como alvo organizações em Mianmar,tanto entidades não governamentais quanto outras organizações.
Os alvos e as características do malware empregado levaram os pesquisadores de segurança à conclusão de que os ataques foram lançados por um ator de ameaças chinês.
Os pesquisadores identificaram quatro cenários diferentes de side-loading que o adversário usou. Em dois deles, uma simples carga de shell foi entregue, com malware mais complexo entregue nos outros dois. Em alguns ataques, foram utilizadas combinações dos dois cenários.
A análise dos ataques também revelou um esforço para ocultar a execução, bem como tentativas aparentes de remover infecções anteriores com o malware PlugX.
Os hackers por trás desses ataques, observa Sophos, não são altamente qualificados, nem abaixo da média. Eles usaram implementações simples em codificação e mensagens escondidas no código que se assemelham às atividades das crianças de script, enquanto seu direcionamento e implantação se assemelham aos de grupos APT estabelecidos.
“Com base em nossa análise, não está claro se esse grupo voltará a implantar mais tradicionais como o PlugX ou continuará com seu próprio código”, observa Sophos.
FONTE: SECURITY WEEK