Uma backdoor anteriormente não documentada que foi encontrada recentemente como alvo de uma empresa de varejo de computadores não identificada com base nos Estados Unidos, foi associada a uma operação de espionagem chinesa de longa data apelidada de Grayfly.
No final de agosto, a empresa Eslováquia de segurança cibernética ESET divulgou detalhes de um implante chamado SideWalk, que é projetado para carregar plugins arbitrários enviados de um servidor controlado por invasor, reunir informações sobre processos em execução nos sistemas comprometidos e transmitir os resultados de volta ao servidor remoto .
A empresa de segurança cibernética atribuiu a intrusão a um grupo que rastreia como SparklingGoblin, um adversário que acredita-se estar conectado à família de malware Winnti (também conhecida como APT41).
Mas a última pesquisa publicada por pesquisadores da Symantec da Broadcom fixou o backdoor do SideWalk no grupo de espionagem ligado à China, apontando as sobreposições do malware com o malware Crosswalk mais antigo, com as últimas atividades de hacking do Grayfly destacando várias organizações no México, Taiwan, os EUA e o Vietnã.
“Uma característica desta campanha recente foi que um grande número de alvos estava no setor de telecomunicações. O grupo também atacou organizações nos setores de TI, mídia e finanças”, conforme a equipe do Threat Hunter da Symantec em um artigo publicado na quinta-feira.
Conhecido por estar ativo pelo menos desde março de 2017, Grayfly funciona como o “braço de espionagem do APT41” que é notório por ter como alvo uma variedade de indústrias em busca de dados confidenciais, explorando servidores da web Microsoft Exchange ou MySQL voltados publicamente para instalar shells da web para invasão inicial, antes de se espalhar lateralmente pela rede e instalar backdoors adicionais que permitem ao agente da ameaça manter o acesso remoto e exfiltrar as informações acumuladas.
Em um caso observado pela Symantec, a atividade cibernética mal-intencionada do adversário começou com o objetivo de um servidor Microsoft Exchange acessível pela Internet para obter uma posição inicial na rede. Em seguida, executou-se uma sequência de comandos do PowerShell para instalar um shell da web não identificado, o que levou à implantação do backdoor Sidewalk e uma variante personalizada da ferramenta de despejo de credenciais Mimikatz que foi usada em ataques Grayfly anteriores.
Nenhuma atividade subsequente foi observada além deste ponto, observou a empresa.
“Grayfly é um ator capaz e provavelmente continuará a representar um risco para as organizações na Ásia e na Europa em uma variedade de setores, incluindo telecomunicações, finanças e mídia”, afirmaram os pesquisadores. “É provável que este grupo continue a desenvolver e melhorar suas ferramentas personalizadas para aprimorar as táticas de evasão, juntamente com o uso de ferramentas comuns, como exploits publicamente disponíveis e shells da web para ajudar em seus ataques.”
Este artigo é uma tradução de: https://thehackernews.com/2021/09/experts-link-sidewalk-malware-attacks.html