0
0
Do final de 2022 ao início de 2023, um agente de ameaças de nível estatal chinês usou um novo malware para realizar espionagem contra ministérios das Relações Exteriores na América do Norte e do Sul.
O grupo em questão, APT15 (também conhecido como Flea, Nickel, Vixen Panda, KE3CHANG, Royal APT e Playful Dragon) já “tem um histórico de aperfeiçoamento em alvos governamentais, missões diplomáticas e embaixadas, provavelmente para fins de coleta de inteligência”, explicaram os pesquisadores da Symantec em um post de blog de 21 de junho. Nos últimos anos, tem visado organizações diplomáticas, organizações governamentais e ONGs.
Esta última campanha concentrou-se principalmente nos ministérios das Relações Exteriores, mas também incluiu um departamento de finanças do governo e uma corporação. Todos os alvos estavam baseados nas Américas, uma região que “parece ter se tornado mais um foco para o grupo nos últimos tempos”, escreveram os pesquisadores.
Para realizar sua espionagem, a APT15 empregou mais de uma dúzia de ferramentas, maliciosas ou não. Entre seu arsenal: Mimikatz e duas de suas variantes, quatro shells da Web, incluindo AntSword e China Chopper, e CVE-2020-1472, uma vulnerabilidade de escalonamento de privilégios “Crítica” de três anos, mas CVSS 10.0 no processo de servidor Windows Netlogon.
A única ferramenta exclusiva dos atacantes era o Graphican, uma nova variante de seu antigo backdoor Trojan usado para executar comandos e baixar arquivos das máquinas das vítimas. “Este backdoor evoluiu alguns de seus mecanismos anti-detecção”, reconhece Avishai Avivi, CISO da SafeBreach. “Dito isso, o fato de que os agentes de ameaças geralmente usam as mesmas técnicas permite que as empresas testem suas defesas proativamente.”
O que é Graphican?
Graphican é uma iteração do outro backdoor Trojan do APT15, Ketrican, em si uma evolução de seu modelo anterior, BS2005.
O Graphican distingue-se principalmente por renunciar a um típico servidor de comando e controle (C2) codificado. Em vez disso, ele usa o Microsoft Graph — uma API para serviços do Microsoft 365 — para recuperar um endereço de servidor criptografado de uma pasta do OneDrive.
Uma vez que a conexão é feita e a máquina comprometida, no entanto, o Graphican possui as mesmas funcionalidades básicas de seu antecessor – criando uma linha de comando controlada pelo invasor na máquina vítima, criando novos processos e arquivos e baixando arquivos. “As semelhanças na funcionalidade entre o Graphican e o conhecido backdoor Ketrican podem indicar que o grupo não está muito preocupado em ter atividade atribuída a ele”, especulam os pesquisadores.
A Avivi vê isso de forma diferente. “A realidade é que os grupos APT estão realmente em busca de eficiência”, diz ele. “Suponha que uma ferramenta seja comprovadamente eficaz para lançar ataques ou abrir backdoors. Nesse caso, eles continuarão a usá-lo até que ele perca sua eficácia ou seja interrompido. A pesquisa e o desenvolvimento custam tempo e dinheiro para os adversários, assim como para as empresas.”
Quem é APT15?
De acordo com a Symantec, o APT15 existe há quase duas décadas. O grupo fez sua maior onda nos últimos anos, no entanto, tanto que em 2021 a Unidade de Crimes Digitais da Microsoft realizou uma apreensão coordenada de sua infraestrutura conhecida. Nem mesmo essa ação coordenada da Microsoft foi suficiente para deter o APT15, que retornou um ano depois com uma campanha de spyware visando populações uigures em massa.
As organizações interessadas em endurecer contra APT15 podem não querer começar com vetores de infecção. O grupo é conhecido por usar e-mails de phishing, “mas também há relatos de que ele explora aplicativos voltados para o público, bem como usa VPNs, para obter acesso inicial às redes das vítimas”, explicou a Symantec.
Por outro lado, a consistência relativa no malware do APT15 pode ser benéfica para os defensores.
“Os adversários usarão técnicas comprovadas para atingir seus objetivos”, diz Avivi, apontando para a repetição do APT15 de backdoors maliciosos em grande parte semelhantes. “Essa é uma, entre muitas razões, pelas quais validar controles de segurança contra padrões e ciclos conhecidos pode ajudar as empresas a se defenderem melhor contra esses agentes de ameaça.”
FONTE: DARK READING