Analysis
Uma investigação revelou que pessoas e organizações na China são o alvo de uma operação de ciberespionagem “altamente coordenada”
03/09/2024
|
A equipa de Threat Research da Securonix descobriu uma campanha dirigida a utilizadores de língua chinesa com payloads de Cobalt Strike provavelmente entregues através de emails de phishing. Os atacantes conseguiram movimentar-se lateralmente, estabelecer persistência e permanecer indetetados nos sistemas durante mais de duas semanas. Diz a investigação que a campanha parece visar especificamente vítimas na China, como evidenciado pelos nomes dos ficheiros e iscos que são predominantemente escritos em chinês. Além disso, toda a infraestrutura de comando e controlo (C2) utilizada pelos atores da ameaça foi alojada na China pela Shenzhen Tencent Computer Systems Company Limited, uma empresa chinesa. Uma análise detalhada dos dados de telemetria das amostras maliciosas indica que a maioria do malware e ficheiros envolvidos teve origem na China, reforçando ainda mais a probabilidade de a China ser de facto o alvo principal deste ataque. Quanto à origem do ataque, a equipa de Securonix não conseguiu chegar a uma conclusão definitiva. Além disso, embora não tenha conseguido determinar com precisão o vetor de ataque, este parece estar alinhado com as táticas tradicionais de email de phishing. No caso do desta campanha, denominada de SlowTempest pela Securonix, é provável que os ficheiros ZIP (que por vezes eram protegidos por palavra-passe) tenham sido distribuídos através de e-mails não solicitados. A execução do código iniciou-se através de um ficheiro de atalho (.lnk) contido num ficheiro comprimido (.zip). Alguns ficheiros estavam protegidos por palavra-passe. Esta era uma tática comum entre os agentes de ameaças do Qakbot, em que a palavra-passe era fornecida dentro do corpo do e-mail de phishing. A encriptação do conteúdo do ficheiro .zip garante que o software antivírus baseado em email não será capaz de examinar e sinalizar adequadamente qualquer conteúdo contido. Depois de o ficheiro .zip ser aberto e a palavra-passe ser fornecida (se necessário), o utilizador recebe um único ficheiro LNK disfarçado de ficheiro .docx. Um exemplo continha um ficheiro de atalho denominado “Lista de pessoas que violaram os regulamentos do software de controlo remoto”. Dada a linguagem utilizada nos ficheiros de engodo, é provável que setores empresariais ou governamentais específicos relacionados com a China possam ser visados, uma vez que ambos empregariam indivíduos que seguem “regulamentações de software de controlo remoto”. |
Receba todas as novidades na sua caixa de correio!
THREATS
Veeam corrige vulnerabilidades críticas
THREATS
Vulnerabilidade recentemente descoberta em firewall estará a ser explorada
THREATS
Atualização do Chrome corrige vulnerabilidades de alta severidade
ANALYSIS
Exploração de zero-day no Chrome atribuída a cibergrupo norte-coreano
ANALYSIS
Investigadores descobrem campanha de ciberespionagem na China
ANALYSIS
Seguradoras pedem ação público-privada para preencher lacunas de proteção
ANALYSIS
Coreia do Norte está a atacar empresas de criptomoedas
ANALYSIS
Vulnerabilidades crescem 43% e EUA lideram alvos de ransomware
ANALYSIS
Ataques de ransomware a organizações governamentais diminui, mas custo de recuperação aumenta
ANALYSIS
19% das empresas foi afetada por ciberataques a cadeias de fornecimento de hardware
