APT Chinesa Alveja Provedores de 5G ao Redor do Mundo
Índice:
A equipe de Inteligência Estratégica do McAfee Advanced Threat Research (ATR) tem desvendado uma operação duradoura de ciberespionagem direcionada a grandes provedores de telecomunicações em todo o mundo. De acordo com pesquisadores de segurança, hackers apoiados pela nação chinesa plantaram malware nas redes de várias empresas de telecomunicações dos EUA, UE e Sudeste Asiático para realizar reconhecimento e roubar informações secretas ligadas à tecnologia 5G. Presumivelmente, a campanha maliciosa foi lançada em nome do governo de Pequim em resposta à proibição de tecnologia chinesa nas implementações de 5G nas regiões visadas.
Visão Geral da Operação Dianxun
Uma análise detalhada das táticas, técnicas e procedimentos (TTPs) vincula a campanha ao ator APT chinês conhecido como Mustang Panda ou RedDelta. Anteriormente, esse coletivo de hackers foi visto atacando organizações católicas, ONGs mongóis e think tanks sediados nos EUA. No entanto, em agosto de 2020, o grupo mudou para atividades maliciosas relacionadas à Operação Dianxun, visando dezenas de empresas de telecomunicações para espionar suas redes.
O vetor de infecção inicial é atualmente desconhecido, no entanto, os especialistas da McAfee sugerem que os atacantes redirecionam as vítimas para um domínio de phishing que entrega software malicioso para seus sistemas. Em particular, os usuários são incentivados a visitar um site falso disfarçado como a página de carreiras da empresa Huawei. Esta página engana as vítimas a baixarem um aplicativo Flash falso, que atua como um carregador e implanta uma ferramenta DotNet na máquina alvo. A ferramenta DotNet serve para obter persistência, realizar reconhecimento e carregar backdoors de segundo estágio na rede comprometida. A análise detalhada revela que, na maioria dos casos, o DotNet entrega um kit de ataque Cobalt Strike na forma de um arquivo gzip base64. Hackers chineses aproveitam o Cobalt Strike nas últimas etapas da intrusão para mover-se lateralmente pela rede comprometida e procurar dados valiosos associados à tecnologia 5G.
Especialistas em segurança observam que a própria Huawei não está conectada a essa operação maliciosa de modo algum, sendo, na verdade, uma vítima das ações nefastas. Além disso, os pesquisadores acreditam que a campanha ainda está em andamento, pois recentemente detectaram atividade maliciosa baseada nos mesmos TTPs.
Detectar Ataques da Operação Dianxun
Para detectar possíveis ataques associados à Operação Dianxun, nosso especialista em recompensa de ameaças Emir Erdogan lançou uma regra Sigma dedicada à comunidade:
https://tdm.socprime.com/tdm/info/LQ0ejPlvFevz/0xgrRXgBhYIRj3KqhBZW
A regra tem traduções para as seguintes plataformas:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye Helix
EDR: Carbon Black, Microsoft Defender ATP
MITRE ATT&CK:
Táticas: Execução, Persistência, Escalação de Privilégios
Técnicas: Tarefa Agendada (T1053)
Inscreva-se no Threat Detection Marketplace, a primeira plataforma SaaS do setor que agrega mais de 100.000 regras de detecção e resposta facilmente convertíveis para vários formatos. Entusiasmado com a criação de seu próprio conteúdo de detecção e com a contribuição para iniciativas globais de caça a ameaças? Participe do nosso Programa de Recompensa de Ameaças e seja recompensado por sua contribuição!
