Ofertas PCs e Hardware Black Friday Kabum

Um ator furtivo de ameaça persistente avançada (APT) conhecido como Gelsemium foi observado visando uma entidade governamental no Sudeste Asiático para estabelecer persistência e coletar inteligência, revela a empresa de segurança cibernética Palo Alto Networks.

Como parte da atividade observada, abrangendo um período de seis meses no final de 2022 e em 2023, o agente da ameaça implantou uma variedade de web shells para apoiar o movimento lateral e a entrega de malware, juntamente com backdoors, um beacon Cobalt Strike e vários outros ferramentas.

A Palo Alto Networks não fez nenhuma reclamação quanto à atribuição, mas observou que outros vincularam o Gelsemium à China no passado.

A empresa de segurança cibernética identificado três web shells usados ​​nesses ataques, nomeadamente reGeorg, China Chopper e AspxSpy (disponíveis publicamente). Em alguns casos, o autor da ameaça implantou uma ferramenta semelhante a um shell para executar comandos adicionais e várias ferramentas de escalonamento de privilégios.

jogos em oferta

Na próxima etapa, malwares como OwlProxy, SessionManager, um beacon Cobalt Strike, SpoolFool e EarthWorm foram implantados para garantir a persistência no ambiente comprometido. Para verificar a conectividade dos sistemas com a Internet, os invasores executaram ping em um conhecido portal chinês.

SessionManager é um backdoor personalizado para Serviços de Informações da Internet (IIS) que permite que invasores executem comandos, baixem e carreguem arquivos e usem o servidor web como proxy, com base em comandos recebidos por meio de solicitações HTTP de entrada.

Como parte da atividade observada, o Gelsemium tentou, sem sucesso, implantar o SessionManager na rede das vítimas, diz Palo Alto Networks.

Outra ferramenta personalizada, OwlProxy é um proxy HTTP que também possui funcionalidade backdoor e que foi usado anteriormente em ataques contra governos no Leste Asiático e no Oriente Médio.

Durante o ataque observado, após o bloqueio da implantação do OwProxy, os invasores tentaram usar uma ferramenta substituta chamada EarthWorm, um tunelador SOCKS disponível publicamente, usado por vários atores de ameaças chineses em ataques maliciosos.

A Gelsemium implantou o EarthWorm para criar um túnel entre seu comando e controle (C&C) e a rede local.

Para escalonamento de privilégios, os invasores usaram o Potato Suite (que inclui as ferramentas JuicyPotato, BadPotato e SweetPotato), junto com o SpoolFool, uma exploração de prova de conceito (PoC) disponível publicamente visando CVE-2022-21999 ().

Com base na combinação única de malware usado nesses ataques, como SessionManager e OwlProxy, a Palo Alto Networks acredita que a atividade observada pode ser atribuída ao grupo Gelsemium APT.

Ativo desde pelo menos 2014, o grupo é conhecido por ter como alvo organizações educacionais, governamentais, fabricantes de eletrônicos e organizações religiosas, principalmente no Leste Asiático e no Oriente Médio. A APT também foi vista como alvo dos governos do Sudeste.

antonio-cesar-150x150
António César de Andrade

Apaixonado por tecnologia e inovação, traz notícias do seguimento que atua com paixão há mais de 15 anos.