Foi observado um ator de ameaça avançado com ligação à Índia usando vários provedores de serviços em nuvem para facilitar a coleta de dados, entrega de malware e comando e controle (C2).
A empresa de infraestrutura e segurança da Web Cloudflare rastreia atividades sob o nome O Lemming Desleixadotambém chamado de Outrider Tiger e Fishing Elephant.
“Entre o final de 2022 e agora, SloppyLemming usa regularmente Cloudflare Workers, possivelmente como parte de uma campanha de espionagem visando países do Sul e Leste da Ásia”, disse Cloudflare na análise.
SloppyLemming está sendo testado pelo menos desde julho de 2021, com campanhas anteriores usando malware como Ares RAT e WarHawk, este último ligado a um conhecido grupo de hackers chamado SideWinder. O uso do Ares RAT, por outro lado, tem sido associado ao SideCopy, um ator de ameaça possivelmente de origem paquistanesa.
Os alvos de trabalho da SloppyLemming incluem empresas governamentais, policiais, de energia, educação, telecomunicações e tecnologia localizadas no Paquistão, Sri Lanka, Bangladesh, China, Nepal e Indonésia.
As cadeias de ataques consistem no envio de e-mails de phishing para leads com o objetivo de induzir os destinatários a clicar em um link malicioso, induzindo uma falsa sensação de urgência, dizendo que eles precisam concluir um processo obrigatório nas próximas 24 horas.
Clicar no URL leva a vítima a uma página de confirmação de coleta, que serve como uma forma para o agente da ameaça obter acesso não autorizado a contas de e-mail direcionadas nas organizações interessadas.
“O ator usa uma ferramenta personalizada chamada CloudPhish para criar um trabalhador malicioso da Cloudflare para interceptar credenciais de registro e extrair informações da vítima do ator da ameaça”, disse a empresa.
Outro ataque do SloppyLemming usou técnicas semelhantes para capturar tokens OAuth do Google, bem como usar arquivos RAR compactados (“CamScanner 10-06-2024 15.29.rar”) que potencialmente exploraram uma falha do WinRAR (CVE-2023-38831) para obter o controle remoto código.
O que há dentro do arquivo RAR é um executável que, sem exibir um documento fraudulento, carrega sorrateiramente “CRYPTSP.dll”, que atua como um downloader para um trojan de acesso remoto hospedado no Dropbox.
Vale a pena mencionar aqui que a empresa de segurança cibernética SEQRITE detalhou uma campanha semelhante realizada por atores do SideCopy no ano passado visando o governo indiano e os setores de defesa para distribuir o Ares RAT usando arquivos ZIP chamados “DocScanner_AUG_2023.zip” e “DocScanner-Oct.zip” acionam o mesma vulnerabilidade.
A terceira cadeia de infecções empregada pelo SloppyLemming envolve o uso de lanças de phishing para levar o público-alvo a um site falso que se faz passar pelo Punjab Information Technology Board (PITB) no Paquistão, após o qual eles são redirecionados para outro site contendo um arquivo URL.
O arquivo URL é incorporado com código para baixar outro arquivo, um executável chamado PITB-JR5124.exe, do mesmo servidor. O binário é um arquivo legítimo usado para carregar uma DLL maliciosa chamada profapi.dll que posteriormente interage com o Cloudflare Worker.
Essas URLs de funcionários da Cloudflare, a famosa empresa, atuam como intermediárias, encaminhando solicitações para o domínio C2 real usado pelo inimigo (“aljazeerak[.]on-line”).
A Cloudflare disse que “detectou os esforços concertados do SloppyLemming para atingir os departamentos de polícia e outras agências de aplicação da lei do Paquistão”, acrescentando que “há indicações de que o ator teve como alvo agências envolvidas na operação e manutenção das instalações de armazenamento nuclear do Paquistão”.
Outros alvos do trabalho de verificação da colheita incluem organizações governamentais e militares do Sri Lanka e do Bangladesh e, em menor grau, organizações chinesas de energia e educação.
