Um ator chinês conhecido como APT41 (também conhecido como Brass Typhoon, Earth Baku, Wicked Panda ou Winnti) foi implicado em ataques cibernéticos sofisticados direcionados à indústria de jogos de azar.
“Durante um período de seis meses, os invasores coletaram informações críticas da empresa alvo, incluindo, entre outras, configuração de rede, senhas de usuários e segredos de processos LSASS”, disse Ido Naor, cofundador e CEO da LSASS. A empresa israelense Security Joes, disse em comunicado enviado ao The Hacker News.
“Durante uma intrusão, os invasores atualizam continuamente seu conjunto de ferramentas com base no feedback da equipe de segurança. Ao observar as ações dos defensores, eles mudam suas estratégias e ferramentas para contornar a detecção e manter acesso contínuo à rede comprometida.”
O ataque em vários estágios, que teve como alvo um de seus clientes e durou quase nove meses este ano, representa uma violação e intrusão perseguida pelo fornecedor de segurança cibernética Sophos sob o apelido de Operação Crimson Palace.
Naor disse que a empresa respondeu ao incidente há quatro meses, acrescentando que “este ataque depende de tomadores de decisão patrocinados pelo governo. Desta vez, suspeitamos com grande confiança que o APT41 estava atrás de ganhos monetários”.
Esta campanha foi projetada com astúcia em mente, usando uma série de táticas para atingir seus objetivos, usando um kit de ferramentas personalizado que não apenas contorna o software de segurança instalado no ambiente, mas também coleta informações valiosas e estabelece canais secretos para acesso remoto persistente.
Security Joes descreveu o APT41 como “altamente sofisticado e metódico”, citando sua capacidade de atacar spyware e envenenar cadeias de suprimentos, levando assim ao roubo de propriedade intelectual e interferência financeira, como ransomware e mineração de criptomoedas.
O vetor de acesso original utilizado no ataque ainda não é conhecido, mas as evidências apontam para e-mails de phishing, dada a ausência de uma vulnerabilidade ativa em aplicações web voltadas para a Internet ou comprometimentos da cadeia de fornecimento.
“Uma vez dentro da infraestrutura alvo, os invasores atacaram o DCSync, com o objetivo de coletar hashes de senhas e contas administrativas para ampliar seu acesso”, disse a empresa em seu relatório. “Com esses detalhes, eles ganharam persistência e mantiveram o controle da rede, focando principalmente nas contas administrativas e de engenharia.”
Diz-se que os atacantes realizaram atividades de reconhecimento e pós-exploração, muitas vezes modificando o seu conjunto de ferramentas para responder às medidas tomadas para combater a ameaça e aumentar os seus privilégios com o objetivo final de descarregar e executar cargas úteis adicionais.
Outras técnicas usadas para atingir seus objetivos incluem o sequestro de Phantom DLL e o uso do utilitário oficial wmic.exe, sem mencionar o abuso de acesso a contas de serviço com privilégios de administrador para acionar execuções.
O próximo estágio é um arquivo DLL malicioso chamado TSVIPrv.dll que é descoberto por meio do protocolo SMB, que ocorre quando a carga entra em contato com o servidor de comando e controle (C2) codificado.
“Se o C2 codificado falhar, a instalação tentará atualizar suas informações C2 coletando usuários do GitHub usando o seguinte URL: github[.]com/search?o=desc&q=pointers&s=joined&type=Usuários&.”
“O malware processa o HTML retornado de uma consulta no GitHub, procurando uma sequência de palavras com apenas letras maiúsculas separadas por espaços. Ele coleta oito dessas palavras e extrai apenas as letras maiúsculas entre A e P. Este processo produz um 8- cadeia de caracteres, incluindo o endereço IP do novo servidor C2 a ser usado no ataque.”
A primeira conexão com o servidor C2 abre caminho para a criação de perfil do sistema infectado e o download de mais malware para ser executado por meio da conexão de soquete.
Security Joes disse que os agentes da ameaça ficaram quietos por algumas semanas depois que suas explorações foram descobertas, mas eventualmente voltaram com um método aprimorado para extrair código JavaScript altamente ofuscado contido em uma versão modificada de um arquivo XSL (“texttable.xsl”) usando LOLBIN. wmic.exe.
“Depois que o comando WMIC.exe MEMORYCHIP GET é executado, ele carrega indiretamente o arquivo texttable.xsl para formatar a saída, forçando a execução de código JavaScript malicioso injetado pelo invasor”, explicaram os pesquisadores.
Já o JavaScript funciona como um downloader que utiliza o domínio time.qnapntp[.]com como um servidor C2 para recuperar cargas sequenciais que fazem impressões digitais na máquina e enviam as informações de volta ao servidor, sujeitas a determinados critérios de filtragem que podem funcionar para atingir as máquinas de interesse do ator da ameaça.
“A característica mais proeminente do código é direcionar deliberadamente máquinas com endereços IP contendo a substring ‘10.20.22'”, disseram os pesquisadores. “
“Isso destaca quais dispositivos específicos são importantes para um invasor, ou seja, aqueles na sub-rede 10.20.22[0-9].[0-255]. Ao correlacionar essas informações com os logs de rede e os endereços IP dos dispositivos onde o arquivo foi encontrado, concluímos que o invasor estava usando esse método de filtragem para garantir que apenas os dispositivos dentro da sub-rede VPN fossem afetados.”
