0
0
Uma análise das atividades do ator APT41 de ameaças persistentes avançadas (APT) apoiada pela China mostrou que o grupo está usando um método único – e um tanto inexplicável – para implantar sua principal carga útil do Cobalt Strike nos sistemas das vítimas.
Pesquisadores do Group-IB, com sede em Cingapura, também descobriram que o adversário está usando uma variedade de ferramentas de uso duplo para realizar reconhecimento.
Até agora, o Group-IB identificou pelo menos 13 grandes organizações em todo o mundo que foram comprometidas em quatro campanhas separadas, com o APT ganhando níveis variados de acesso. As vítimas incluíam organizações dos setores de governo, saúde, manufatura, logística, hospitalidade e mídia nos EUA, bem como na China, Índia, Taiwan e Vietnã.
O fornecedor de segurança concluiu que o número real de vítimas do APT41 poderia ser muito maior , com base – entre outras coisas – no fato de ter observado sinais de atividade relacionada ao APT em um total de 80 organizações privadas e governamentais em 2021.
Estratégia de implantação de carga útil intrigante para Cobalt Strike
Um aspecto interessante das campanhas que o Group-IB analisou foi a tendência do APT41 de codificar seu principal binário Cobalt Strike personalizado em Base64 e depois dividi-lo em pedaços menores de 775 caracteres. Estes são então adicionados a um arquivo de texto. Em um caso, os agentes de ameaças tiveram que repetir a ação 154 vezes para gravar toda a carga útil no arquivo.
Em outro caso, os pesquisadores do Group-IB observaram o agente da ameaça dividindo o código em pedaços de 1.024 caracteres antes de gravar a carga útil em um arquivo de texto usando 128 iterações do processo.
Nikita Rostovcev, analista da equipe de pesquisa APT do Group-IB, diz que não está claro por que o APT41 pode ter adotado a estratégia, mas supõe que pode ser uma tentativa de permanecer fora do radar.
“Não sabemos completamente por que os invasores escolheram esse método porque o SQLmap tem um grande limite de transferência de dados, o que significa que foi feito intencionalmente, provavelmente para evitar sua detecção”, diz ele.
No entanto, detectar o estratagema não é difícil, especialmente considerando que a carga útil foi codificada em Base64 no final, ele acrescenta: “Esta é uma descoberta única. Não vimos nenhum outro invasor usar esse método em seus ataques”.
Ferramentas de injeção de SQL e de uso duplo
A análise do Group-IB mostra que os agentes de ameaças mudaram de tática para o acesso inicial, realizando ataques de injeção de SQL usando a ferramenta SQLmap para obter uma base para algumas organizações-alvo. O SQLmap descobre e explora automaticamente as vulnerabilidades do SQL. Os ataques de injeção de SQL permitem que os atores do APT41 obtenham acesso ao shell de comando em alguns servidores de destino.
A tática marca um desvio do padrão usual do APT41 de usar phishing, ataques watering-hole e credenciais roubadas como vetores de acesso inicial.
O APT41 foi principalmente atrás de bancos de dados com informações sobre contas de usuários existentes, listas de funcionários e senhas armazenadas em texto simples e formato hash. No total, os atores do APT41 atacaram 86 sites e aplicativos vulneráveis pertencentes às organizações visadas e conseguiram comprometer metade deles por meio de injeção de SQL.
“Normalmente, os invasores do APT41 estão interessados em informações sobre usuários existentes e suas contas e quaisquer dados que possam ser usados para movimentos laterais adicionais”, diz Rostovcev.
Depois que o agente da ameaça obtém acesso a uma rede de destino, sabe-se que ele implanta várias outras ferramentas personalizadas para cumprir sua missão. Em seu relatório no início deste ano, a Cybereason identificou algumas dessas ferramentas como DeployLog, para implantar o principal rootkit de nível de kernel do grupo de ameaças, uma carga inicial chamada Spyder Loader; uma ferramenta para armazenar cargas úteis chamada StashLog; e um para escalonamento de privilégios apelidado de PrivateLog.
Nas campanhas de 2021 que o Group-IB investigou, descobriu atores do APT41 usando ferramentas como o scanner de vulnerabilidades da Web da Acunetix, Nmap e OneForAll, e ferramentas de teste de caneta como subdomain3, subDomainsBrute e Sublist3r.
“Todos esses utilitários – exceto o Acunetix – estão disponíveis ao público e usados não apenas em ataques de hackers, mas em testes de penetração, por exemplo”, diz Rostovcev.
Rostovcev descreve as ferramentas como se enquadrando em várias categorias, incluindo aquelas que podem ser usadas para procurar diretores ocultos e arquivos de backup esquecidos, e aquelas para escanear portas e os serviços executados nelas.
Um ator de ameaça prolífico e persistente patrocinado pelo Estado
APT41 (também conhecido como Winnti, Wicked Panda, Barium e Blackfly) é um grupo APT bem conhecido que surgiu pela primeira vez em 2010 com ataques a empresas como Google e Yahoo. Acredita-se que o grupo esteja trabalhando em nome do governo chinês – ou pelo menos com seu apoio tácito. Alguns descreveram o APT41 como representando uma coleção de agentes de ameaças cibernéticas que executam diretivas das agências de inteligência da China.
Embora o governo dos EUA tenha indiciado cinco membros do APT41 em 2020 e vários fornecedores de segurança tenham relatado suas atividades e TTPs, o agente da ameaça continuou suas atividades imperturbáveis. O relatório da Cybereason mostra que o APT41 roubou centenas de gigabytes de dados confidenciais de 30 organizações na América do Norte em uma recente campanha de espionagem cibernética .
FONTE: DARK READING