Um grupo de hackers relacionado a um ator de ameaças que fala chinês foi vinculado a uma campanha de ciberespionagem avançada que visa organizações governamentais e militares no Vietnã.
Os ataques foram atribuídos com baixa confiança à ameaça persistente avançada (APT) chamada Cycldek (ou Goblin Panda, Hellsing, APT 27 e Conimes), que é conhecida por usar técnicas de spear-phishing para comprometer alvos diplomáticos no Sudeste Asiático, Índia e os EUA pelo menos desde 2013.
De acordo com pesquisadores da Kaspersky, a ofensiva, observada entre junho de 2020 e janeiro de 2021, aproveita um método chamado carregamento lateral de DLL para executar o código de shell que descriptografa uma carga final chamada " FoundCore ".
O carregamento lateral de DLL tem sido uma técnica experimentada e testada usada por vários agentes de ameaças como uma tática de ofuscação para contornar as defesas antivírus. Ao carregar DLLs maliciosas em executáveis legítimos, a ideia é mascarar sua atividade maliciosa em um sistema confiável ou processo de software.
Nesta cadeia de infecção revelada pela Kaspersky, um componente legítimo do Microsoft Outlook carrega uma biblioteca maliciosa chamada "outlib.dll", que "sequestra o fluxo de execução pretendido do programa para decodificar e executar um shellcode colocado em um arquivo binário, rdmin.src . "
Além do mais, o malware vem com uma camada extra projetada explicitamente para proteger o código da análise de segurança e dificultar a engenharia reversa. Para conseguir isso, diz-se que o agente de ameaça por trás do malware apagou a maior parte do cabeçalho da carga útil , deixando o resto com valores incoerentes.
Kaspersky disse que o método "sinaliza um grande avanço em sofisticação para os invasores nesta região".
Além de dar aos invasores controle total sobre o dispositivo comprometido, o FoundCore vem com recursos para executar comandos para manipulação do sistema de arquivos, manipulação de processos, captura de imagens e execução arbitrária de comandos. As infecções envolvendo o FoundCore também baixaram dois malwares adicionais. O primeiro, DropPhone, reúne informações relacionadas ao ambiente da máquina da vítima e as exfiltra para o DropBox, enquanto o segundo, CoreLoader, executa um código que permite que o malware frustre a detecção por produtos de segurança.
A empresa de segurança cibernética teorizou que os ataques se originam de uma campanha de spear-phishing ou outras infecções precursoras, que desencadeiam o download de documentos RTF enganosos de um site desonesto, levando à implantação do FoundCore.
Entre dezenas de organizações afetadas, 80% delas estão sediadas no Vietnã e pertencem ao setor governamental ou militar, ou estão relacionadas à saúde, diplomacia, educação ou setores políticos, com outras vítimas, ocasionalmente detectadas na Ásia Central e na Tailândia .
“Não importa qual grupo orquestrou esta campanha, ela constitui um avanço significativo em termos de sofisticação”, concluíram os pesquisadores. "Aqui, eles adicionaram muito mais camadas de ofuscação e engenharia reversa significativamente complicada."
"E isso sinaliza que esses grupos podem estar procurando expandir suas atividades. No momento, pode parecer que esta campanha é mais uma ameaça local, mas é altamente provável que a porta dos fundos do FoundCore seja encontrada em mais países em diferentes regiões do futuro ", disse o pesquisador de segurança sênior da Kaspersky, Mark Lechtik.
