Um grupo suspeito de espionagem cibernética com conexão à China foi associado a ataques direcionados a grandes fornecedores de serviços de TI para empresas no sul da Europa, como parte de uma campanha denominada Operação Olho Digital.
As invasões ocorreram entre o final de junho e meados de julho de 2024, conforme relatado pelas empresas de cibersegurança SentinelOne SentinelLabs e Tinexta Cyber em um relatório conjunto compartilhado com o site The Hacker News. As atividades foram detectadas e neutralizadas antes de chegarem à fase de exfiltração de dados.
"As intrusões poderiam ter permitido que os adversários estabelecessem pontos estratégicos e comprometessem entidades relacionadas", explicaram os pesquisadores de segurança Aleksandar Milenkoski e Luigi Martire.
Os atores da ameaça exploraram o Visual Studio Code e a infraestrutura do Microsoft Azure para fins de comando e controle (C2), tentando mascarar atividades maliciosas como legítimas.
Ainda não se sabe qual grupo de hackers ligado à China está por trás dos ataques, um fator complicado pela ampla troca de ferramentas e infraestruturas entre atores de ameaças associados à nação asiática.
No centro da Operação Olho Digital está a exploração de Remote Tunnels do Visual Studio Code para C2, um recurso legítimo que permite acesso remoto a endpoints, dando aos atacantes a capacidade de executar comandos arbitrários e manipular arquivos.
Hackers patrocinados pelo governo frequentemente utilizam infraestruturas públicas de nuvem para camuflar suas atividades no tráfego normal observado pelos defensores de redes. Além disso, essas ações usam executáveis legítimos que não são bloqueados por controles de aplicativos ou regras de firewall.
Os ataques observados incluem o uso de injeção SQL como vetor inicial para comprometer aplicativos e servidores de banco de dados expostos à internet. A injeção de código é realizada com uma ferramenta legítima de teste de penetração chamada SQLmap, que automatiza a detecção e exploração de vulnerabilidades de SQL Injection.
Após uma invasão bem-sucedida, é implantado um web shell baseado em PHP, chamado PHPsert, permitindo aos atacantes manter acesso remoto persistente. Os passos subsequentes incluem reconhecimento, coleta de credenciais e movimentação lateral dentro da rede utilizando o Protocolo de Área de Trabalho Remota (RDP) e técnicas de passagem de hash.
"Para os ataques de passagem de hash, eles usaram uma versão modificada do Mimikatz", disseram os pesquisadores. A ferramenta permite a execução de processos no contexto de segurança de um usuário comprometido, aproveitando o hash da senha NTLM sem precisar da senha real do usuário.
Semelhanças substanciais no código-fonte sugerem que a ferramenta personalizada se origina da mesma fonte de outras atividades de espionagem cibernética chinesas, como as Operações Soft Cell e Tainted Love. Essas modificações no Mimikatz, que incluem certificados compartilhados e técnicas únicas de ofuscação, foram coletivamente denominadas mimCN.
"A evolução de longo prazo e a versão das amostras do mimCN, juntamente com recursos notáveis, como instruções deixadas para uma equipe separada de operadores, sugerem o envolvimento de um fornecedor compartilhado ou coordenador digital responsável pela manutenção ativa e provisão de ferramentas", apontaram os pesquisadores.
"A função desse operador no ecossistema chinês de APTs, corroborada pelo vazamento do I-Soon, provavelmente desempenha um papel crucial no apoio às operações de espionagem cibernética com conexão à China."
Outro ponto importante é o uso de SSH e Túnel Remoto do Visual Studio Code para execução remota de comandos, com os atacantes utilizando contas do GitHub para autenticação e conexão ao túnel, acessando os endpoints comprometidos por meio da versão baseada no navegador do Visual Studio Code (vscode[.]dev).
Ainda não se sabe se os atores da ameaça usaram contas GitHub recém-registradas ou já comprometidas para autenticar os túneis.
Além do mimCN, outros indícios que apontam para a China incluem a presença de comentários em chinês simplificado no PHPsert, o uso de infraestrutura fornecida por um provedor romeno de hospedagem, o M247, e a exploração do Visual Studio Code como uma backdoor, algo já associado ao grupo Mustang Panda.
A investigação também revelou que os operadores eram mais ativos nas redes das organizações-alvo durante o horário comercial típico da China, geralmente entre 9h e 21h no horário de Pequim.
"A campanha destaca a natureza estratégica dessa ameaça, pois comprometer organizações que fornecem dados, infraestrutura e soluções de cibersegurança para outros setores oferece aos atacantes uma posição privilegiada na cadeia de suprimentos digital, permitindo estender seu alcance a entidades secundárias", disseram os pesquisadores.
"O abuso do Túnel Remoto do Visual Studio Code nesta campanha ilustra como grupos APT chineses frequentemente dependem de abordagens práticas e orientadas a soluções para evitar detecção. Ao utilizar uma ferramenta de desenvolvimento confiável e infraestrutura legítima, os atores da ameaça buscaram disfarçar suas atividades maliciosas como legítimas."
Via - THN
Comments