0
0
Uma ameaça persistente avançada (APT) está avançando em um campo lotado de atores patrocinados pelo estado da China como uma ameaça dominante de espionagem cibernética. Até agora, o grupo RedHotel foi atrás de governos em 17 países em três continentes, realizando coleta de informações e espionagem econômica usando uma infraestrutura e um conjunto de ferramentas significativos para apoiar tudo.
O RedHotel (também conhecido como TAG-22 ou Earth Lusca) está a operar desde 2019, mas aumentou muito a sua atividade nos últimos dois anos, destacando-se “pela persistência, intensidade operacional e alcance global”, investigadores do Recorded Future’s Insikt Group revelou em um relatório publicado esta semana.
O grupo já realizou ataques em 17 países da Ásia, Europa e América do Norte. Sua formidável estrutura de suporte de back-end é composta por dois clusters de infraestrutura distintos – um amplamente dedicado ao reconhecimento e operações de acesso inicial e um segundo para manter o acesso de longo prazo com redes direcionadas.
Embora o grupo esteja particularmente focado no Sudeste Asiático, ele conta como vítimas uma legislatura estadual dos EUA – que comprometeu em 2022 – bem como vários outros alvos nos setores acadêmico, aeroespacial, governamental, de mídia, telecomunicações e pesquisa. Também tem como alvo a pesquisa COVID-19, ativistas pró-democracia de Hong Kong, grupos religiosos minoritários e empresas de jogos de azar online.
A identificação do RedHotel como uma entidade distinta passou despercebida devido ao uso de famílias de malware de backdoor ShadowPad e Winnti previamente identificadas. Como vários grupos de ameaças chineses – incluindo o Blackfly – usam essas ferramentas, o RedHotel se misturou, “criando desafios no clustering e na atribuição”, observaram os pesquisadores.
No entanto, devido ao alto ritmo operacional do RedHotel, táticas, técnicas e procedimentos de infraestrutura distintos (TTPs) e uso mais amplo de ferramentas de segurança personalizadas e ofensivas, o grupo agora desenvolveu uma identidade distinta como uma ameaça dominante apoiada pela China em seu próprio país. certo, operando em Chengdu para apoiar o Ministério de Segurança do Estado da China, de acordo com o Insikt.
Estratégia de ataque diversificada de um APT chinês
O RedHotel é caracterizado por alguns aspectos-chave – uma ampla infraestrutura de suporte de duas camadas e as inúmeras e diversas maneiras de atacar as vítimas usando malware de commodities e personalizado.
A Insikt documentou vários ataques observados em seu relatório; em um ataque no final do ano passado, o RedHotel atacou o Vietnamese Institute on State usando um certificado de assinatura de código roubado pertencente a uma empresa de jogos taiwanesa. O certificado foi usado para assinar uma DLL de biblioteca de vínculo dinâmico que carregava a ferramenta de segurança ofensiva conhecida como Brute Ratel C4.
Na mesma campanha, o grupo usou um certificado TLS roubado originalmente pertencente a outro departamento do governo vietnamita, o Ministério da Educação e Treinamento – que os atores continuaram a usar até junho de 2023.
Em outra atividade de ameaça observada em julho de 2022, o RedHotel estava vinculado à exploração do pacote de colaboração Zimbra em organizações governamentais em vários países por meio da comunicação com os endereços IP ShadowPad e Cobalt Strike C2 controlados pelo grupo.
Além dos backdoors Winnti e ShadowPad, RedHotel também usa backdoors FunnySwitch e Spyder em suas campanhas, bem como um perfil de comando e controle Cobalt Strike personalizado (C2) que se disfarça como o serviço Microsoft Windows Compatibility Troubleshooter.
Do lado da infraestrutura, o RedHotel fornece grandes quantidades de servidores privados virtuais que atuam como proxies reversos para o tráfego C2 associado a várias famílias de malware que o grupo de ameaças usa. Esses servidores são normalmente configurados para escutar em portas HTTP(S) padrão e para redirecionar o tráfego para servidores upstream controlados por atores, que são administrados usando o software VPN de código aberto SoftEther.
Essa infraestrutura lida com atividades de intrusão de longo prazo, enquanto “um cluster de infraestrutura separado e mais barulhento” é usado para operações de acesso inicial e reconhecimento, de acordo com a Insikt.
Defendendo-se contra os ataques do RedHotel
O relatório oferece uma série de estratégias para as empresas se defenderem contra ataques RedHotel, bem como uma lista abrangente de indicadores de comprometimento (IoCs) que eles recomendam que as organizações usem para analisar suas redes e tráfego.
Outras recomendações da Insikt incluem a configuração de sistemas de detecção de intrusão, sistemas de prevenção de intrusão ou quaisquer mecanismos de defesa de rede para fornecer alertas para os endereços IP externos e domínios identificados no relatório como prováveis controlados pela RedHotel, seguido de uma revisão e qualquer bloqueio necessário se aplicável.
As organizações também devem adotar uma abordagem baseada em risco para correção de vulnerabilidades , priorizando vulnerabilidades de alto risco e aquelas que estão sendo exploradas na natureza. Além disso, eles devem garantir que os recursos de monitoramento e detecção de segurança estejam em vigor para todos os serviços e dispositivos voltados para o exterior, com monitoramento de acompanhamento se webshells, backdoors, reverse shells ou movimento lateral forem detectados.
A Insikt também aconselhou uma prática geral de segmentação de rede com controles extras definidos para lidar com informações confidenciais, incluindo a restrição de acesso e armazenamento a sistemas acessíveis apenas por meio de uma rede interna.
FONTE: DARKREADING