0
0
Imaginamos que os hackers mais bem-sucedidos do mundo escrevem seu próprio código perigoso e investem pesadamente nas tecnologias que usam para violar seus alvos. Nos últimos meses, no entanto, um novo grupo de ataques teve sucesso com a abordagem oposta.
De acordo com um relatório de 24 de janeiro do SentinelOne, um ator de ameaça comprometeu várias organizações na China e em Taiwan, criando uma combinação de Frankenstein de componentes de código aberto preexistentes. Entre eles: várias ferramentas para escalar privilégios de usuários em máquinas Windows e para estabelecer persistência e permitir a execução remota de código.
Além de adotar o código de outros hackers, os invasores também adotaram livremente a infraestrutura de outras organizações. Ao preparar seu malware, os hackers manipularam servidores localizados na China, Hong Kong, Cingapura e Taiwan, muitos dos quais eram hospedados por empresas perfeitamente comuns, incluindo uma galeria de arte, um varejista de produtos para bebês e empresas nas indústrias de jogos e apostas. .
Pesquisadores do SentinelOne chamaram a campanha de “DragonSpark” – um portmanteau referenciando os links em chinês dos invasores e “SparkRAT”, um Trojan de acesso remoto ( RAT ) de código aberto nunca visto na natureza até agora.
Uma festa de código aberto
Para obter acesso inicial a seus alvos, os invasores do DragonSpark procuraram servidores da Web expostos à Internet e servidores de banco de dados MySQL. Então, com um pé na porta, eles começaram a implantar malware de código aberto.
” As ferramentas de código aberto e a infraestrutura existente são muito práticas para os agentes de ameaças”, disse Aleksandar Milenkoski, pesquisador sênior de ameaças da SentinelOne, à Dark Reading. Isso é especialmente verdadeiro para “atores envolvidos em atividades de crimes cibernéticos sem muitos recursos e prontidão técnica aprofundada para desenvolver seu próprio conjunto de ferramentas e configurar uma infraestrutura complexa, mas visando ataques oportunistas em larga escala ao mesmo tempo”.
Os atacantes do DragonSpark realizaram seus ataques oportunistas com programas como SharpToken e BadPotato , que permitem a execução de comandos no nível do sistema operacional Windows. O SharpToken também fornece visibilidade às informações do usuário e do processo; ele permite que um usuário adicione, exclua ou modifique livremente as senhas dos usuários do sistema. O BadPotato, observaram os pesquisadores, já havia sido usado anteriormente por outros agentes de ameaças chineses em uma campanha de espionagem.
O próximo no arsenal foi o GotoHTTP , que facilita a persistência, a transferência de arquivos e a visualização remota da tela. Mas o malware mais notável de todos foi o SparkRAT – “um desenvolvimento muito recente no cenário de ameaças”, observou Milenkoski. O DragonSpark representa “a primeira observação concreta de agentes de ameaças usando o SparkRAT como parte de campanhas maiores”.
Lançado em sua versão atual em 1º de novembro de 2022, o SparkRAT é um pau para toda obra. É compatível não apenas com Windows, mas também com sistemas Linux e macOS. Suas características mais notáveis são as seguintes, conforme descrito pelos pesquisadores:
- “Execução de comandos: incluindo a execução de comandos arbitrários do sistema Windows e do PowerShell;
- Manipulação do sistema: incluindo desligamento, reinicialização, hibernação e suspensão do sistema;
- Manipulação de arquivos e processos: incluindo encerramento de processos, upload, download e exclusão de arquivos; e
- Roubo de informações: incluindo exfiltração de informações da plataforma (CPU, rede, memória, disco e informações de tempo de atividade do sistema), roubo de captura de tela e enumeração de processos e arquivos.”
SparkRAT, SharpToken, Bad Potato e GotoHTTP estão disponíveis gratuitamente para download online. Como ferramentas de código aberto, seu uso também dificulta a atribuição.
Links para a China
Todos os alvos do DragonSpark eram organizações sediadas no leste da Ásia. Muitos deles “têm uma grande base de clientes”, observa Milenkoski, “levando à crença de que os agentes de ameaças podem estar mirando nos dados dos clientes”. Se o motivo foi cibercrime ou espionagem, não foi determinado.
Embora incapazes de atribuir alguém específico, os pesquisadores consideraram “altamente provável” que os invasores do DragonSpark falassem chinês. Isso é, em parte, explicado pelo fato de que a maior parte de sua infraestrutura e alvos estavam localizados no leste da Ásia. Além disso, o shell da Web que eles usaram para implantar seu malware – uma ferramenta conhecida chamada China Chopper – e todas as ferramentas de código aberto descritas acima foram originalmente desenvolvidas por desenvolvedores e fornecedores que falam chinês.
Isso é consistente com a atividade recente no mundo dos agentes de ameaças chineses. Um alerta publicado no verão passado pela Agência de Segurança Cibernética e Infraestrutura (CISA) destacou como os APTs patrocinados pelo estado da República Popular “muitas vezes misturam seu conjunto de ferramentas personalizadas com ferramentas disponíveis publicamente”.
Todos os sinais apontam para mais desses tipos de ataques daqui para frente. O SparkRAT em particular, embora incipiente na cena, “é atualizado regularmente com novos recursos”, observaram os pesquisadores do SentinelOne, acrescentando que “o RAT permanecerá atraente para cibercriminosos e outros agentes de ameaças no futuro”.
FONTE: DARK READING