Analysis

Investigadores descobrem campanha de ciberespionagem na China

Uma investigação revelou que pessoas e organizações na China são o alvo de uma operação de ciberespionagem “altamente coordenada”

03/09/2024

Investigadores descobrem campanha de ciberespionagem na China

A equipa de Threat Research da Securonix descobriu uma campanha dirigida a utilizadores de língua chinesa com payloads de Cobalt Strike provavelmente entregues através de emails de phishing. Os atacantes conseguiram movimentar-se lateralmente, estabelecer persistência e permanecer indetetados nos sistemas durante mais de duas semanas.

Diz a investigação que a campanha parece visar especificamente vítimas na China, como evidenciado pelos nomes dos ficheiros e iscos que são predominantemente escritos em chinês. Além disso, toda a infraestrutura de comando e controlo (C2) utilizada pelos atores da ameaça foi alojada na China pela Shenzhen Tencent Computer Systems Company Limited, uma empresa chinesa. Uma análise detalhada dos dados de telemetria das amostras maliciosas indica que a maioria do malware e ficheiros envolvidos teve origem na China, reforçando ainda mais a probabilidade de a China ser de facto o alvo principal deste ataque.

Quanto à origem do ataque, a equipa de Securonix não conseguiu chegar a uma conclusão definitiva. Além disso, embora não tenha conseguido determinar com precisão o vetor de ataque, este parece estar alinhado com as táticas tradicionais de email de phishing. No caso do desta campanha, denominada de SlowTempest pela Securonix, é provável que os ficheiros ZIP (que por vezes eram protegidos por palavra-passe) tenham sido distribuídos através de e-mails não solicitados.

A execução do código iniciou-se através de um ficheiro de atalho (.lnk) contido num ficheiro comprimido (.zip). Alguns ficheiros estavam protegidos por palavra-passe. Esta era uma tática comum entre os agentes de ameaças do Qakbot, em que a palavra-passe era fornecida dentro do corpo do e-mail de phishing. A encriptação do conteúdo do ficheiro .zip garante que o software antivírus baseado em email não será capaz de examinar e sinalizar adequadamente qualquer conteúdo contido.

Depois de o ficheiro .zip ser aberto e a palavra-passe ser fornecida (se necessário), o utilizador recebe um único ficheiro LNK disfarçado de ficheiro .docx. Um exemplo continha um ficheiro de atalho denominado “Lista de pessoas que violaram os regulamentos do software de controlo remoto”.

Dada a linguagem utilizada nos ficheiros de engodo, é provável que setores empresariais ou governamentais específicos relacionados com a China possam ser visados, uma vez que ambos empregariam indivíduos que seguem “regulamentações de software de controlo remoto”.


NOTÍCIAS RELACIONADAS

RECOMENDADO PELOS LEITORES

REVISTA DIGITAL

IT SECURITY Nº21 Dezembro 2024

IT SECURITY Nº21 Dezembro 2024

NEWSLETTER

Receba todas as novidades na sua caixa de correio!

O nosso website usa cookies para garantir uma melhor experiência de utilização.