Um grupo ciberespião ligado à China parece estar por trás de uma campanha visando organizações industriais na Europa Oriental, informou a empresa de segurança cibernética Kaspersky na semana passada.
Os ataques foram vinculados ao APT31, um grupo que se acredita ser patrocinado pelo governo chinês, também conhecido como Zircônio, Panda do Julgamento, Bronze Vinewood e Red Keres. O agente da ameaça concentrou-se em operações cujo objetivo é roubar propriedade intelectual valiosa das vítimas.
Embora os alvos da campanha analisada pela Kaspersky fossem organizações industriais, a empresa disse Cibersegurança Notícias não há indicação de que os hackers tenham como alvo os sistemas de controle industrial (ICS).
“Não temos nenhuma evidência de que os invasores possam ter algo além do roubo de dados como objetivo nesta campanha”, disse Kaspersky.
Os ataques foram observados em 2022 e a empresa de segurança cibernética concluiu recentemente sua investigação sobre a campanha.
Os hackers tentaram estabelecer canais permanentes para exfiltração de dados, inclusive para informações armazenadas em sistemas air-gapped, que visavam por meio de unidades removíveis infectadas por malware.
Os invasores usaram variantes aprimoradas de um malware conhecido anteriormente chamado FourteenHi, que permite que os invasores carreguem ou baixem arquivos, executem comandos e inicializem um shell reverso.
As novas variantes foram projetadas para atingir especificamente a infraestrutura de organizações industriais.
Ademais, os ciberespiões alavancaram um novo implante de malware chamado MeatBall, que fornece amplos recursos de acesso remoto.
Os invasores exploraram vulnerabilidades de sequestro de DLL que afetam aplicativos legítimos para carregar alguns de seus malwares.
“Para exfiltrar dados e entregar malware de próximo estágio, o agente (ou agentes) da ameaça abusa de um armazenamento de dados baseado em nuvem, por exemplo, Dropbox ou Yandex Disk, bem como um serviço usado para compartilhamento temporário de arquivos. Eles também usam C2 implantado em servidores privados virtuais (VPS) regulares”, explicou Kaspersky.
A empresa de segurança cibernética relatório inclui detalhes técnicos sobre esses ataques, incluindo indicadores de comprometimento (IoCs) e táticas, técnicas e procedimentos (TTPs).
: