Após 6 meses sem atividades serem observadas, pesquisadores da Trend Micro atribuíram uma série de ataques ao grupo Earth Longzhi, que é um subgrupo dentro do APT41. A campanha identificada tem como alvos entidades governamentais, da área da saúde, tecnologia e manufatura em Taiwan, Tailândia, Filipinas e Fiji. Segundo publicação da terça-feira (2), os adversários abusam de um executável do Windows Defender para realizar sideload de DLL, enquanto também explora um driver vulnerável, o zamguard.sys, para desabilitar produtos de segurança que estejam instalados nos hosts por meio de um ataque de “traga seu próprio driver vulnerável” (BYOVD). Por fim, foi identificado o uso do malware, apelidado de SPHijacker, num método empregado conhecido como "stack rumbling", que envolve fazer alterações no Registro do Windows para interromper o fluxo de execução de um processo e causar deliberadamente a falha dos aplicativos visados ao iniciar. Adicionalmente, a Trend Micro identificou documentos falsos escritos em vietnamita e indonésio, indicando que no futuro possíveis campanhas possam atingir usuários nos dois países.
Fonte: Trend Micro
Comments