0
0
A ameaça persistente avançada conhecida como APT41 colocou em serviço uma ferramenta de código aberto, o Google Command and Control (GC2), para uso em ataques de espionagem cibernética, marcando uma mudança em suas táticas.
De acordo com a equipe do Google Threat Analysis Group (TAG), o grupo APT41, também conhecido como HOODOO, Winnti e Bronze Atlas, recentemente atacou uma organização de mídia taiwanesa com e-mails de phishing que continham links para um arquivo protegido por senha hospedado no Drive.
Quando o arquivo foi aberto, ele buscou a carga útil do GC2. Conforme detalhado no relatório TAG April Threat Horizons, essa ferramenta obtém seus comandos do Planilhas Google, com maior probabilidade de ocultar a atividade maliciosa, e exfiltra dados para o Google Drive. A ferramenta GC2 também permite que o invasor baixe arquivos adicionais do Drive para o sistema da vítima.
O APT41 também usou anteriormente o GC2 em julho passado para segmentar um site italiano de busca de emprego, de acordo com a TAG.
Os pesquisadores da TAG observaram que incidentes como esse destacam várias tendências de atores de ameaças afiliados à China, como o uso de ferramentas disponíveis publicamente, a proliferação de ferramentas escritas na linguagem de programação Go e o direcionamento da mídia taiwanesa.
Usando ferramentas publicamente disponíveis
Os grupos APT chineses têm usado cada vez mais ferramentas publicamente disponíveis (e legítimas), como o Cobalt Strike e outros softwares de teste de penetração, que estão disponíveis em sites como o GitHub; também houve uma mudança para o uso de ferramentas de agrupamento vermelho menos conhecidas, como Brute Ratel e Sliver, para evitar a detecção durante seus ataques.
O uso de tais táticas de “viver da terra” é bem conhecido em ciberatacantes financeiramente motivados, mas menos entre os APTs que têm melhores recursos e podem desenvolver ferramentas personalizadas. No entanto, Christopher Porter, chefe de inteligência de ameaças do Google Cloud, disse no relatório que é “apenas prudente considerar que os agentes de ameaças cibernéticas patrocinados pelo Estado podem roubar os manuais dos cibercriminosos para atingir esses sistemas”.
Ele acrescenta: “Um nome de domínio familiar desarma muitas das defesas naturais que todos temos ao visualizar um e-mail suspeito, e o grau em que ele é confiável geralmente será codificado em sistemas de segurança que examinam spam ou malware”, diz ele. Ele também sinalizou o uso de serviços em nuvem para furtividade e legitimidade: “Os provedores de nuvem são alvos úteis para esses tipos de operações, seja como hosts para malware ou fornecendo a infraestrutura para comando e controle”.
Quem é APT41?
As atividades do grupo ilustram a “contínua sobreposição de agentes de ameaças do setor público visando organizações do setor privado com laços governamentais limitados”, de acordo com a análise da TAG.
No ano passado, o mesmo grupo foi descoberto implantando o malware Spyder Loader como parte de uma campanha em andamento para coletar informações de inteligência sobre organizações governamentais em Hong Kong, além de ter como alvo várias agências governamentais dos EUA usando a vulnerabilidade Log4j.
O Atlas de Bronze é “um dos grupos mais prolíficos que rastreamos há muito tempo”, diz Marc Burnard, pesquisador sênior de segurança da Unidade de Contra-Ameaças da Secureworks, que o rastreou desde pelo menos 2007. E durante esse tempo, o grupo “tem sido muito prolífico”, diz ele.
Burnard diz que o APT41 foi atrás de uma série de metas, incluindo governo, saúde, manufatura de alta tecnologia, telecomunicações, aviação, organizações não-governamentais (ONGs) e metas alinhadas com os interesses políticos e econômicos da China.
“Eles estão focados principalmente no roubo de propriedade intelectual, e também estiveram envolvidos em direcionar a inteligência política também”, observa ele.
Perguntado por que essa empresa de mídia taiwanesa em particular seria alvo, Burnard admite que pode haver várias razões, incluindo a situação política China-Taiwan, um objetivo de usar a vítima para atingir outras organizações e indivíduos, ou pode haver um “elemento destrutivo” também.
APT41 acalma sua parede de ruído
Como mencionado, o relatório TAG descobriu que os invasores enviaram e-mails de phishing para a vítima contendo links para serviços de nuvem legítimos, a fim de evitar a detecção – links para um serviço de nuvem confiável não acionam filtros de e-mail. Burnard ressalta que isso faz parte de uma mudança de estilo para o grupo, já que até os últimos anos ele era bastante barulhento em seus ataques, e não muito preocupado com a atividade que estava sendo detectada.
No entanto, desde o indiciamento de sete supostos cibercriminosos em 2020, que supostamente incluíam membros do APT41, a atividade tem sido mais furtiva e Burnard diz que o APT agora está se movendo para o uso de ferramentas legítimas como o Cobalt Strike e para serviços em nuvem, para ocultar sua intenção e atividade.
FONTE: DARK READING