0
0
Um grupo chinês de ameaças persistentes avançadas (APT) está sequestrando canais legítimos de atualização de aplicativos para software desenvolvido por empresas chinesas, a fim de fornecer malware personalizado.
Os ataques tiveram como alvo indivíduos na China e na Nigéria em uma campanha que está em andamento há dois anos. A atividade maliciosa visa roubar credenciais e dados para fins de ciberespionagem, descobriram pesquisadores da Eset.
Em janeiro, os pesquisadores observaram o Evasive Panda APT entregando o instalador do principal backdoor do grupo, o malware MgBot, a uma organização não-governamental chinesa, revelaram em um post publicado em 26 de abril.
“Durante nossa investigação, descobrimos que, ao realizar atualizações automatizadas, um componente de software de aplicativo legítimo baixava instaladores backdoor do MgBot de URLs e endereços IP legítimos”, escreveu Facundo Munoz, analista de inteligência de segurança e pesquisador de malware da Eset, no post.
A atividade maliciosa tem como alvo principalmente usuários chineses nas províncias de Gansu, Guangdong e Jiangsu, bem como um usuário na Nigéria.
Como os pesquisadores nunca observaram nenhum outro agente de ameaças usando o backdoor do MgBot – um malware modular que permite que o Evasive Panda espione as vítimas e aprimore suas capacidades em movimento – foi bastante fácil atribuir a atividade ao APT chinês, disseram eles.
Como eles conseguiram isso?
Embora não seja sem precedentes, é incomum e bastante complexo entregar malware por meio de um canal legítimo de atualização de software, disseram os pesquisadores. Neste momento, eles permanecem inconclusivos sobre como o Panda Evasivo fez isso.
No entanto, eles reduziram sua especulação a dois cenários possíveis: comprometimento da cadeia de suprimentos ou um ataque adversário no meio (AitM), disseram os pesquisadores. Eles analisaram os dois tipos de atividade da campanha Evasive Panda e semelhanças com outros ataques para chegar a essas conclusões, disseram os pesquisadores.
Para o cenário da cadeia de suprimentos, a Eset analisou um dos atualizadores para os quais detectou o maior número de amostras de malware, o atualizador de um popular serviço de bate-papo e mídia social chinês, o cliente Tencent QQ Windows.
“Dada a natureza direcionada dos ataques, especulamos que os invasores precisariam comprometer os servidores de atualização do QQ para introduzir um mecanismo para identificar os usuários-alvo para entregar o malware, filtrando os usuários não direcionados e entregando-lhes atualizações legítimas”, escreveu Munoz. De fato, os pesquisadores observaram que atualizações legítimas foram baixadas através dos mesmos protocolos abusados.
Os pesquisadores compararam esse possível cenário a um caso anterior que examinaram em que os invasores comprometeram os servidores de atualização de uma empresa de desenvolvimento de software com sede em Hong Kong para fornecer atualizações legítimas de software chamado BigNox, bem como cargas maliciosas, para usuários específicos. Um cenário semelhante pode ter ocorrido no caso da entrega de MgBot pelo Evasive Panda, disseram os pesquisadores.
Para os cenários AitM, os pesquisadores citaram um relatório da Kaspersky publicado em junho passado sobre as capacidades do grupo LuoYu APT de língua chinesa, que entregou seu malware WinDealer por meio de atualizações legítimas de aplicativos.
Nesse caso, os pesquisadores perceberam que, em vez de carregar uma lista de servidores de comando e controle estabelecidos para entrar em contato em caso de um comprometimento bem-sucedido, o ataque gerou endereços IP aleatórios nas faixas 13.62.0.0/15 e 111.120.0.0/14 da China Telecom AS4134.
Houve uma coincidência semelhante, embora pequena, na recente atividade do Evasive Panda que os pesquisadores observaram, disseram eles, com “os endereços IP dos usuários chineses visados no momento de receber o malware MgBot estavam nos intervalos de endereços IP AS4134 e AS4135”, escreveu Munoz.
Essas atividades semelhantes podem significar que tanto o LuoYo quanto o Evasive Panda controlavam um grande número de dispositivos associados aos endereços IP nesses intervalos ou que eles são AitM ou interceptação de invasor na infraestrutura desse AS em particular, supuseram os pesquisadores. De fato, pesquisas anteriores da Symantec relataram que o Evasive Panda tinha como alvo um provedor de telecomunicações africano.
“Com acesso à infraestrutura de backbone do ISP – através de meios legais ou ilegais – o Evasive Panda seria capaz de interceptar e responder às solicitações de atualização realizadas via HTTP, ou até mesmo modificar pacotes em tempo real”, escreveu Munoz.
O APT e seu malware
A Evasive Panda – também conhecida como Bronze Highland e Daggerfly – está ativa desde 2012 e realiza principalmente espionagem cibernética contra indivíduos na China continental, Hong Kong, Macau e Nigéria, bem como organizações específicas na China e Hong Kong.
O grupo também tem como alvo entidades governamentais na China, Macau e países do Sudeste e Leste Asiático – especificamente Mianmar, Filipinas, Taiwan e Vietnã. De acordo com relatos públicos, o grupo também tem como alvo entidades desconhecidas em Hong Kong, Índia e Malásia.
O Evasive Panda usa principalmente o backdoor modular baseado em C++ do Windows MgBot – que não parece ter sido atualizado desde que foi documentado publicamente pela primeira vez em 2014 – para espionar as vítimas. Os módulos do malware podem ser atualizados pelo Evasive Panda durante os ataques para melhorar as capacidades do invasor, de acordo com Eset.
Como os ataques parecem tão legítimos para os usuários finais, eles são difíceis para as organizações detectarem e mitigarem, disseram pesquisadores de segurança. Para ajudar as vítimas em potencial a evitar o comprometimento, os pesquisadores da Eset incluíram uma lista de indicadores de comprometimento (IoCs) em seu post.
Ao relatar o ataque LuoYo, os pesquisadores da Kaspersky aconselharam que a única maneira de os alvos em potencial se defenderem contra esses ataques é permanecer extremamente vigilante e implementar procedimentos de segurança robustos que envolvam varreduras antivírus regulares, análise do tráfego de rede de saída e registro extensivo para detectar anomalias.
FONTE: DARK READING