A Check Point Research (CPR), divisão de Inteligência em Ameaças da Check Point Software, descobriu uma campanha de ciberespionagem em andamento com foco em organizações governamentais nas regiões da África e no Caribe. Atribuída ao agente de ameaças chinês Sharp Dragon (anteriormente conhecido pela denominação Sharp Panda), a campanha adota o Cobalt Strike Beacon como carga útil (payload), possibilitando funcionalidades de backdoor como comunicação C2 e execução de comandos, ao mesmo tempo que minimiza a exposição de suas ferramentas personalizadas. Essa abordagem refinada sugere uma compreensão mais profunda de seus alvos.
As principais descobertas dos pesquisadores da CPR são:
. As operações do Sharp Dragon continuam, agora expandindo seu foco para novas regiões: África e Caribe.
. O Sharp Dragon utiliza entidades governamentais confiáveis para infectar novas organizações e estabelecer pontos de entrada iniciais em novos territórios previamente inexplorados.
. Os agentes de ameaças demonstram maior cautela na seleção de seus alvos, ampliando seus esforços de reconhecimento e adotando o Cobalt Strike Beacon em vez de backdoors personalizados, mostrando uma abordagem refinada de infiltração.
. Ao longo de suas operações, o Sharp Dragon explorou vulnerabilidades de um (01) dia para comprometer infraestruturas que posteriormente foram usadas como infraestruturas de Comando e Controle (C&C).
Análise detalhada
Desde 2021, a CPR tem monitorado de perto as atividades do Sharp Dragon, que envolvem principalmente e-mails de phishing altamente direcionados, resultando na implantação de malwares como VictoryDLL ou o framework Soul. No entanto, uma mudança significativa ocorreu nos últimos meses, com o Sharp Dragon redirecionando parte de seu foco da região da Ásia-Pacífico para organizações governamentais na África e no Caribe.
Essa expansão está alinhada com seu modus operandi, caracterizado pelo comprometimento de contas de e-mail de alto perfil para disseminar documentos de phishing, agora armados com o Cobalt Strike Beacon para capacidades de infiltração aprimoradas.
De acordo com Sergey Shykevich, gerente de Inteligência de Ameaças da Check Point Research (CPR), “a expansão do Sharp Dragon para a África e o Caribe destaca uma mudança nos alvos desse agente e seus pontos de interesse. A adoção do Cobalt Strike Beacon reflete uma evolução em suas táticas, sinalizando a necessidade de maior vigilância entre as organizações nessas regiões”.
Essas atividades são consistentes com o modus operandi estabelecido do Sharp Dragon, caracterizado pelo comprometimento de contas de e-mail de alto perfil para disseminar documentos de phishing utilizando um template remoto armado com o RoyalRoad. No entanto, ao contrário das táticas anteriores, essas iscas agora implantam o Cobalt Strike Beacon, indicando uma adaptação estratégica para aprimorar suas capacidades de infiltração.
Cadeia de infecção
Primeiro, os agentes de ameaças utilizam e-mails de phishing altamente personalizados, muitas vezes disfarçados como correspondências legítimas, para atrair as vítimas a abrirem anexos maliciosos ou clicarem em links maliciosos.
Esses anexos ou links executam cargas úteis (payload), que evoluíram ao longo do tempo de malwares personalizados, como VictoryDLL e o framework Soul, para ferramentas mais amplamente utilizadas, como o Cobalt Strike Beacon.
Após a execução bem-sucedida, o malware estabelece um ponto de entrada no sistema da vítima, permitindo que os agentes de ameaças realizem reconhecimento e coletem informações sobre o ambiente alvo. Esta fase de reconhecimento permite ao Sharp Dragon identificar alvos de alto valor e adaptar suas estratégias de ataque de acordo com isso.
Essa cadeia de infecção destaca a abordagem sofisticada do Sharp Dragon para operações cibernéticas, enfatizando o planejamento cuidadoso, reconhecimento e exploração de vulnerabilidades para alcançar seus objetivos enquanto minimizam a detecção.
Táticas, técnicas e procedimentos
Embora a funcionalidade principal permaneça consistente, os pesquisadores da Check Point Research identificaram mudanças em suas Táticas, Técnicas e Procedimentos (TTPs). Essas mudanças refletem uma seleção de alvos mais cuidadosa e uma maior consciência de segurança operacional (OPSEC).
Algumas mudanças incluem:
. Coleta Ampla de Reconhecimento: O downloader 5.t agora realiza um reconhecimento mais completo nos sistemas-alvo, incluindo a análise de listas de processos e a enumeração de pastas, levando a uma seleção mais criteriosa das potenciais vítimas.
. Payload do Cobalt Strike: Sharp Dragon passou de usar VictoryDll e o framework SoulSearcher para adotar o Cobalt Strike Beacon como a carga útil para o downloader 5.t, proporcionando funcionalidades de backdoor enquanto minimiza a exposição de ferramentas personalizadas, sugerindo uma abordagem refinada para a avaliação de alvos e minimização de exposição.
. Carregadores EXE: Observações recentes indicam uma mudança notável nos downloaders 5.t, com alguns dos últimos exemplos incorporando carregadores baseados em EXE em vez dos típicos baseados em DLL, destacando a evolução dinâmica de suas estratégias. Além disso, o Sharp Dragon introduziu um novo executável, mudando da cadeia de infecção baseada em documentos do Word para executáveis disfarçados como documentos, semelhante ao método anterior, mas aprimorando a persistência através de tarefas agendadas.
. Infraestrutura Comprometida: Sharp Dragon muda de servidores dedicados para usar servidores comprometidos como servidores de Comando e Controle (C&C), especificamente utilizando a vulnerabilidade CVE-2023-0669, que é uma falha na plataforma GoAnywhere que permite injeção de comandos de pré-autenticação.
“A expansão estratégica do Sharp Dragon para a África e o Caribe representa um esforço mais amplo dos atores cibernéticos chineses para aumentar sua presença e influência nessas regiões. As táticas em evolução do Sharp Dragon destacam a natureza dinâmica das ameaças cibernéticas, especialmente em relação a regiões historicamente negligenciadas. Essas descobertas só reforçam a importância de medidas de cibersegurança robustas e de prevenção, por meio de soluções que ofereçam proteção abrangente contra ameaças emergentes”, conclui Sergey Shykevich.
Notícia distribuída pela saladanoticia.com.br. A Plataforma e Veículo não são responsáveis pelo conteúdo publicado, estes são assumidos pelo Autor(a):
JULIANA VERCELLI
juliana.vercelli@inkcomunicacao.com.br