0
0
O Group-IB lançou uma nova pesquisa sobre o grupo de hackers patrocinado pelo estado APT41. A equipe de inteligência de ameaças do Group-IB estima que em 2021 os agentes de ameaças obtiveram acesso a pelo menos 13 organizações em todo o mundo. Ao analisar as campanhas maliciosas do grupo, especialistas descobriram técnicas e artefatos de adversários deixados pelos invasores que apontam para sua origem.
Atividade do grupo APT41
O grupo de invasores patrocinado pelo estado APT41 (também conhecido como ARIUM, Winnti, LEAD, WICKED SPIDER, WICKED PANDA, Blackfly, Suckfly, Winnti Umbrella, Double Dragon), cujos objetivos são espionagem cibernética e ganho financeiro, está ativo desde pelo menos 2007.
Os analistas do Group-IB Threat Intelligence identificaram quatro campanhas de malware APT41 realizadas em 2021 que estavam geograficamente espalhadas pelos Estados Unidos, Taiwan, Índia, Vietnã e China. As indústrias visadas incluíram o setor público, manufatura, saúde, logística, hotelaria, educação, bem como mídia e aviação. Segundo o Grupo-IB, houve 13 vítimas confirmadas do APT41 em 2021, mas o número real pode ser muito maior.
Nas campanhas investigadas, o grupo utilizou as seguintes ferramentas de reconhecimento: Acunetix, Nmap, SQLmap, OneForAll, subdomain3, subDomainsBrute e Sublist3r.
Os membros do APT41 geralmente usam phishing, exploram várias vulnerabilidades (incluindo Proxylogon ) e conduzem ataques watering hole ou supply chain para comprometer inicialmente suas vítimas. No entanto, nas campanhas recentes examinadas pelo Group-IB, os invasores realizaram injeções de SQL em sites usando a ferramenta disponível publicamente SQLmap como vetor de ataque inicial.
Em algumas organizações, o grupo obteve acesso ao shell de comando do servidor de destino, enquanto em outras eles acessaram bancos de dados com informações sobre contas existentes, listas de funcionários e senhas de texto simples e hash. As injeções de SQL permitiram que os agentes de ameaças se infiltrassem nas redes das vítimas em metade dos casos: 43 dos 86 sites se mostraram vulneráveis.
Cobalt Strike: antigo, mas dourado
O Group-IB estabeleceu que o grupo usou um método exclusivo de dividir uma carga útil (um Cobalt Strike Beacon personalizado) para baixar código malicioso para dispositivos de destino e executá-lo. Depois que a carga útil foi compilada, ela foi codificada em Base64 e depois dividida em blocos de 775 caracteres e adicionada a um arquivo de texto usando um determinado comando.
Em um dos casos observados, para gravar toda a carga útil em um arquivo, os agentes de ameaças precisaram repetir essa ação 154 vezes. O mesmo método atípico de divisão da carga útil foi observado na rede pertencente a outra organização, onde os agentes da ameaça dividiram o código em pedaços de 1.024 caracteres. Para escrever o payload completamente, neste caso eles precisaram de 128 iterações.
Os pesquisadores do Group-IB enfatizam que o grupo geralmente usava determinados servidores exclusivamente para hospedar o framework Cobalt Strike, enquanto exploravam outros apenas para varredura ativa através do Acunetix. A equipe identificou servidores que foram usados para ambos, no entanto. “Apesar de os servidores estarem protegidos com o serviço de nuvem Cloudflare, que oculta os endereços reais dos servidores, o sistema Group-IB Threat Intelligence detectou back-ends de servidores APT41, que ajudaram a monitorar a infraestrutura maliciosa do grupo e bloquear rapidamente seus servidores”, um especialista do Group-IB disse.
Uma descoberta notável do Group-IB relacionada ao Cobalt Strike é o uso de ouvintes com certificados SSL personalizados. Os ouvintes são usados para aceitar conexões da carga útil para manter a comunicação entre os bots e o servidor C&C. Nos casos examinados, o APT41 utilizou certificados SSL exclusivos que imitavam “Microsoft”, “Facebook” e “Cloudflare”.
De acordo com o Group-IB, os servidores com esses certificados surgiram no início de 2020. No final de 2021, seu número chegou a 106. A equipe identificou mais de 100 servidores Cobalt Strike que são usados apenas pelo APT41. A maioria não está mais ativa.
Trabalhando em um cronograma
A pesquisa sobre as campanhas de malware APT41 de 2021 ajudou os analistas do Group-IB Threat Intelligence a alinhar todos os timestamps do grupo para UTC+8. Como resultado, eles chegaram às seguintes conclusões. O grupo começa a trabalhar às 9h00 e a sua atividade termina por volta das 19h00. Existem vários países no fuso horário do invasor, incluindo China, Malásia, Cingapura, partes da Rússia e Austrália.
Em relação à atribuição de agentes de ameaças, o relatório fornece uma lista de endereços IP principalmente chineses usados para se comunicar com servidores Cobalt Strike. Os especialistas também observaram o uso de caracteres chineses nos dispositivos a partir dos quais os ataques foram realizados. Curiosamente, os pesquisadores notaram um formato Pinyin específico sendo usado para nomear diretórios. Pinyin é um sistema de romanização que representa os sons da língua chinesa usando o alfabeto latino.
FONTE: HELPNET SECURITY