Mustang Panda da China ligado a ataques da SmugX a governos europeus

Views: 152
0 0
Read Time:3 Minute, 47 Second

Um grupo de ameaças chinês adotou uma técnica de HTML furtiva há muito usada por seus colegas para atingir os formuladores de políticas europeus, em uma campanha destinada a espalhar o Trojan de acesso remoto PlugX (RAT).

Ao longo dos últimos dois meses, os analistas da Check Point Research (CPR) têm rastreado a atividade, que apelidaram de SmugX porque usa um vetor de ataque chamado HTML Smuggling – uma técnica para plantar cargas maliciosas dentro de documentos HTML, revelaram os pesquisadores em um relatório publicado no início desta semana.

A campanha está em andamento desde pelo menos dezembro e parece ter uma ligação direta com uma campanha anteriormente relatada atribuída ao APT chinês RedDelta, bem como ao trabalho do APT chinês Mustang Panda (também conhecido como Camaro Dragon ou Bronze President), embora haja “evidências insuficientes” para vincular definitivamente o SmugX a qualquer grupo, de acordo com a pesquisa.

Além disso, enquanto a Check Point separa o Mustang Panda e o Camaro Dragon em duas entidades separadas, outros pesquisadores se referem aos dois como um só; A RedDelta, por sua vez, parece ter ligações com ambos os grupos, de acordo com pesquisadores da Check Point.

O SmugX representa uma mudança na mira para os atores de ameaças chineses, que no passado se concentraram principalmente na Rússia, Ásia e EUA em suas campanhas de ameaça, acrescentaram. No entanto, uma campanha recente ligada ao Mustang Panda para usar drives USB para espalhar malware de espionagem autopropagante já indicava que esses grupos já se envolviam em atividades de ameaças na Europa como parte de sua intenção global.

O SmugX tem como alvo principal ministérios governamentais em países do Leste Europeu – incluindo Ucrânia, República Tcheca, Eslováquia e Hungria – bem como na Suécia, França e Reino Unido. As iscas documentais usadas para enganar as vítimas se concentram nas políticas interna e externa europeias, geralmente se passando por agências-chave no respectivo país para parecer autênticas.

Detalhes do ataque cibernético SmugX

O SmugX usa como mecanismo de entrega de malware documentos HTML que contêm conteúdo diplomático. Em mais de um caso, esse conteúdo está diretamente relacionado à China – incluindo um artigo sobre dois advogados chineses de direitos humanos condenados a mais de uma década de prisão.

Outros documentos usados na campanha são uma carta originária da embaixada sérvia em Budapeste; um documento que define as prioridades da Presidência sueca do Conselho da União Europeia; um convite para uma conferência diplomática emitido pelo Ministério dos Negócios Estrangeiros da Hungria.

O malware está embutido nesses documentos HTML, o que permite que eles evitem medidas de detecção baseadas em rede, de acordo com a pesquisa.

Abrir um dos documentos HTML maliciosos resulta na decodificação de um JavaScript que inclui a carga incorporada — que, neste caso, é o PlugX, um RAT que é usado por agentes de ameaças chineses desde 2008. Isso desencadeia uma cadeia de eventos que eventualmente leva à implantação do RAT, que emprega uma estrutura modular que acomoda vários plugins diversos com funcionalidades distintas.

“Isso permite que os invasores realizem uma série de atividades maliciosas em sistemas comprometidos, incluindo roubo de arquivos, capturas de tela, registro de pressionamento de teclas e execução de comandos”, de acordo com o relatório.

A carga útil do PlugX garante sua persistência em um processo que primeiro copia o programa legítimo e a DLL e, em seguida, os armazena em um diretório oculto que ele cria, com a carga criptografada armazenada em uma pasta oculta separada. Em seguida, o malware adiciona o programa legítimo à chave do Registro Executar.

Manobras defensivas contra PlugX, RATs

Embora nem as técnicas nem o malware usados na campanha sejam novos, o SmugX representa um desafio para as organizações visadas por causa de como combina diferentes táticas e sua probabilidade de não ser facilmente detectado. Isso permite que “os agentes de ameaças permaneçam fora do radar por um bom tempo”, de acordo com a Check Point.

Para ajudar as organizações a identificar se foram comprometidas, o relatório inclui uma extensa lista de indicadores de comprometimento (IoCs) que abrangem endereços HTML, arquivos, trechos JavaScript, arquivos de carga criptografada, IPs e domínios e muito mais.

Os funcionários devem sempre ter cuidado ao clicar em links ou arquivos desconhecidos ao usar uma rede corporativa e verificar com os departamentos de TI antes de baixar qualquer coisa nova da Internet. Além disso, uma combinação abrangente de emulação de ameaças e estratégias de detecção de endpoint também pode se defender contra ataques como o SmugX, de acordo com a Check Point.

FONTE: DARK READING

POSTS RELACIONADOS