0
0
Após um breve hiato, o Alloy Taurus APT (também conhecido como Gallium ou Operation Soft Cell) está de volta à cena, com uma nova variante Linux de seu malware PingPule.
A Alloy Taurus é um ator de ameaças afiliado ao Estado-nação chinês, desde pelo menos 2012, mas apenas no centro das atenções desde 2019. Ele se concentra na espionagem e é mais conhecido por visar os principais provedores de telecomunicações.
Em um post no blog em junho passado, a Unidade 42 da Palo Alto Networks publicou detalhes sobre a versão original do PingPull para Windows. Era um Trojan de acesso remoto (RAT) baseado em Visual C++, que permitia que seu proprietário executasse comandos e acessasse um shell reverso em um computador de destino comprometido.
A Alloy Taurus sofreu um golpe no segundo semestre de 2022, mas agora está de volta na íntegra. “Eles queimaram a versão Windows do PingPull”, explica Pete Renals, pesquisador principal da Unidade 42, “e criaram uma nova capacidade que demonstra algum grau de especialização mudando para uma variante diferente”.
A variante Linux se sobrepõe em grande parte ao seu ancestral do Windows, permitindo que os invasores listem, leiam, escrevam, copiem, renomeiem e excluam arquivos, bem como executem comandos. Curiosamente, o PingPull também compartilha algumas funções, parâmetros HTTP e manipuladores de comandos com o shell da Web China Chopper infamemente implantado nos ataques de 2021 contra o Microsoft Exchange Servers.
A Queda da Liga Touro
A Alloy Taurus entrou em cena em 2018-2019, com campanhas de espionagem ousadas contra os principais provedores de telecomunicações em todo o mundo. Como a Cybereason explicou em seu post no blog em junho de 2019, “o agente de ameaça estava tentando roubar todos os dados armazenados no diretório ativo, comprometendo cada nome de usuário e senha na organização, juntamente com outras informações de identificação pessoal, dados de faturamento, registros de detalhes de chamadas, credenciais, servidores de e-mail, geolocalização de usuários e muito mais”.
Mesmo quando comparado com outros APTs de nível estadual chinês, é “bastante maduro e bastante sério”, avalia Renals. “A capacidade de entrar em uma AT&T, Verizon ou Deutsche Telekom, colocar baixo e alterar as configurações do roteador requer um certo grau de especialização. Essa não é a sua equipe júnior de qualquer maneira, forma ou forma.”
Mas a Alloy Taurus não era invulnerável, como os pesquisadores descobriram recentemente.
O grupo estava voando alto no final de 2021 e início de 2022, utilizando seu PingPull Windows RAT em várias campanhas, observou a Unidade 42 em seu post de junho. Teve como alvo as telecomunicações, mas também organizações militares e governamentais, localizadas no Afeganistão, Austrália, Bélgica, Camboja, Malásia, Moçambique, Filipinas, Rússia e Vietname.
Então, “apenas três a cinco dias depois de publicarmos em junho, os vimos abandonar toda a infraestrutura que foi abordada no relatório”, diz Renals. “Eles mudaram tudo para apontar para um governo específico e o Sudeste Asiático – de modo que todos os implantes de beaconing e todas as vítimas foram redirecionados para outro país – e basicamente limparam as mãos de tudo isso.”
O Retorno da Liga Touro
A liga Touro não havia desaparecido completamente, mas certamente recuara. “Eles estavam vivendo da terra”, explica Renals. “Parte da infraestrutura principal de upstream permaneceu aberta e funcionando.”
A vitória durou pouco quando, em dezembro, os pesquisadores captaram novos sinais de vida. E em março, eles capturaram uma amostra Linux do antigo malware PingPule. “Isso mostra a capacidade de um APT maduro de responder e se ajustar muito rapidamente”, diz Renals.
Que os APTs possam retornar tão facilmente em novas formas apresenta um enigma para os defensores cibernéticos. Como alguém se protege contra um grupo como o Alloy Taurus hoje, se ele pode simplesmente voltar usando uma nova maquiagem amanhã?
“Acho que os dias de rastreamento de indicadores específicos de comprometimento (IoCs) estão em grande parte atrás de nós”, diz Renals. “Agora é mais sobre rastrear as técnicas e as táticas, e ter a análise comportamental para detectar esse tipo de atividade. É aí que estamos mudando o endpoint, é aí que estamos mudando a segurança da rede também.”
Descobrir o novo PingPull, ele acredita, é um exemplo disso para essa melhor maneira de descobrir APTs sofisticados. “Com a variante Linux, inicialmente podemos tê-la triado como benigna. E então olhamos para ele e dissemos: ‘Ei, espere um minuto. Isso tem características muito semelhantes a outra coisa que é maliciosa. Vamos fazer com que um ser humano olhe para isso’. Então, ter essa capacidade é essencial.”
FONTE: DARK READING