Ator ligado à China explora backdoor do Linux em forte campanha de espionagem

Views: 184
0 0
Read Time:4 Minute, 42 Second

“Earth Lusca”, um ator de espionagem cibernética ligado à China que tem visado ativamente organizações governamentais na Ásia, América Latina e outras regiões desde pelo menos 2021, começou a usar um backdoor Linux com recursos que parecem inspirados em várias ferramentas de malware anteriormente conhecidas.

O malware que os pesquisadores da Trend Micro descobriram e estão rastreando como “SprySOCKS” é, em primeiro lugar, uma variante Linux do “Trochilus”, um Trojan de acesso remoto do Windows (RAT) cujo código vazou e se tornou disponível publicamente em 2017.

Variante Linux do Windows Backdoor

Trochilus tem múltiplas funções, que incluem permitir que agentes de ameaças instalem e desinstalem arquivos remotamente, registrem pressionamentos de tecla e façam capturas de tela, gerenciamento de arquivos e edição de registro. Uma característica central do malware é a capacidade de permitir movimentos laterais. Segundo a Trend Micro, a principal rotina de execução e strings do SprySOCKS mostram que ele se originou do Trochilus e teve diversas de suas funções reimplementadas para sistemas Linux.

Além disso, a implementação do shell interativo do SprySOCKS no Earth Lusca sugere que ele foi inspirado na versão Linux do Derusbi , uma família de RATs em constante evolução que atores avançados de ameaças persistentes têm usado desde 2008. Além disso, o comando e controle do SprySOCKS ( A infraestrutura C2) se assemelha àquela que os agentes de ameaças associados a um RAT de segundo estágio chamado RedLeaves usaram em campanhas de espionagem cibernética por mais de cinco anos, disse a Trend Micro.

Como outros malwares desse tipo, o SprySOCKS incorpora múltiplas funções, incluindo coleta de informações do sistema, inicialização de um shell interativo, listagem de conexões de rede e upload e exfiltração de arquivos. 

Mas o que torna o SprySOCKS único entre os backdoors do Linux é seu mecanismo de lançamento, dizem os pesquisadores da Trend Micro Joseph Chen e Jaromir Horejsi. De acordo com os dois pesquisadores, a carga principal do backdoor é criptografada em um disco e só estará presente na memória depois que o carregador for descriptografado e injetado em si mesmo. É um mecanismo que os grupos APT costumam usar para atingir sistemas Windows, mas não tanto em sistemas Linux, dizem os dois pesquisadores.

Ator de ameaças indescritíveis

Earth Lusca é um ator de ameaça um tanto evasivo que a Trend Micro tem observado desde meados de 2021, visando organizações no sudeste da Ásia e, mais recentemente, na Ásia Central, nos Bálcãs, na América Latina e na África. As evidências sugerem que o grupo faz parte do Winnti , um grupo de grupos de espionagem cibernética que se acredita estarem a trabalhar em nome ou em apoio aos objectivos económicos chineses.

Os alvos da Earth Lusca incluíram instituições governamentais e educacionais, grupos pró-democracia e de direitos humanos, grupos religiosos, organizações de mídia e organizações que conduzem pesquisas sobre a COVID-19. Tem estado especialmente interessado em agências governamentais envolvidas em relações exteriores, telecomunicações e tecnologia. Ao mesmo tempo, embora a maioria dos ataques do Earth Lusca pareçam estar relacionados à espionagem cibernética, ocasionalmente o adversário também perseguiu empresas de criptomoedas e jogos de azar, sugerindo que também tem motivação financeira, disse a Trend Micro.

Chen e Horejsi dizem que a telemetria disponível sugere que a Earth Lusca pode ter atingido potencialmente até 150 organizações desde o início do ano. Alguns deles envolveram alvos dos EUA, observam eles, apontando para uma campanha no início deste ano em que o ator da ameaça explorou múltiplas vulnerabilidades no Zimbra Collaboration Suite para violar redes empresariais, e outra que impactou uma legislatura estadual .

Em muitos de seus ataques, o ator da ameaça usou spear-phishing, golpes comuns de engenharia social e ataques watering hole para tentar obter uma posição segura em uma rede alvo. Desde o início deste ano, os atores do Earth Lusca também têm visado agressivamente as chamadas vulnerabilidades de “n dias” em aplicativos voltados para a Web para se infiltrar nas redes das vítimas. Uma vulnerabilidade de n dias é uma falha que um fornecedor já divulgou, mas para a qual nenhum patch está disponível atualmente. “Recentemente, o ator da ameaça tem sido altamente agressivo ao atingir os servidores públicos de suas vítimas, explorando vulnerabilidades conhecidas”, disse a Trend Micro.

Entre as muitas falhas que o Earth Lusca foi observado explorando este ano estão CVE-2022-40684 , uma vulnerabilidade de desvio de autenticação no FortiOS da Fortinet e outras tecnologias; CVE-2022-39952 , um bug de execução remota de código (RCE) no Fortinet FortiNAC; e CVE-2019-18935, um RCE em andamento Telerik UI para ASP.NET AJAX. Outros atores de ameaças também exploraram esses bugs. CVE-2022-40684, por exemplo, é uma falha que um provável ator de ameaça apoiado pela China usou em uma campanha generalizada de espionagem cibernética apelidada de “ Volt Typhoon ”, visando organizações em vários setores críticos, incluindo governo, manufatura, comunicação e serviços públicos.

“O Earth Lusca aproveita as vulnerabilidades do servidor para se infiltrar nas redes de suas vítimas, após o que implantará um web shell e instalará o Cobalt Strike para movimento lateral”, disse a Trend Micro em seu relatório. “O grupo pretende exfiltrar documentos e credenciais de contas de e-mail, bem como implantar backdoors avançados como ShadowPad e a versão Linux do Winnti para conduzir atividades de espionagem de longo prazo contra seus alvos.”

Esta história foi atualizada em 20 de setembro com comentários dos pesquisadores da Trend Micro Joseph Chen e Jaromir Horejsi.

FONTE: DARKREADING

POSTS RELACIONADOS