Um ator de ameaça supostamente de origem chinesa foi vinculado a uma série de 10 ataques visando a Mongólia, Rússia, Bielo-Rússia, Canadá e os EUA de janeiro a julho de 2021, que envolvem a implantação de um trojan de acesso remoto (RAT) em sistemas infectados , de acordo com novas pesquisas.
As intrusões foram atribuídas a uma ameaça persistente avançada chamada APT31 (FireEye), que é rastreada pela comunidade de segurança cibernética sob os nomes de Zirconium (Microsoft), Judgment Panda (CrowdStrike) e Bronze Vinewood (Secureworks).
O grupo é um "China-
O ator de espionagem cibernética da Nexus focado na obtenção de informações que podem fornecer ao governo chinês e às empresas estatais vantagens políticas, econômicas e militares ", de acordo com a FireEye.
A Positive Technologies, em um artigo publicado na terça-feira, revelou um novo dropper de malware que foi usado para facilitar os ataques,
incluindo a recuperação de payloads criptografados de próximo estágio de um servidor de comando e controle remoto, que são posteriormente decodificados para executar o backdoor.
O código malicioso vem com a capacidade de baixar outro malware, potencialmente colocando as vítimas afetadas em risco adicional, bem como realizar operações de arquivo, exfiltrar dados confidenciais,
e até mesmo se excluir da máquina comprometida.
"O código para processar o comando [auto-exclusão] é particularmente intrigante: todos os arquivos e chaves de registro criados são excluídos usando um arquivo bat", disseram os pesquisadores da Positive Technologies, Denis Kuvshinov e Daniil Koloskov.
Também digno de nota particular são as semelhanças do malware com um trojan chamado DropboxAES RAT que foi colocado em uso pelo mesmo grupo de ameaça no ano passado e dependia do Dropbox para suas comunicações de comando e controle (C2), com várias sobreposições encontradas em as técnicas e mecanismos usados para injetar o código de ataque, obter persistência,
e o mecanismo empregado para deletar a ferramenta de espionagem.
"As semelhanças reveladas com versões anteriores de amostras maliciosas descritas por pesquisadores, como em 2020, sugerem que o grupo está expandindo a geografia de seus interesses para países onde sua atividade crescente pode ser detectada, a Rússia em particular", concluíram os pesquisadores.
