Detecção de Ataques Billbug: Atores de Espionagem Ligados à China Miram Organizações no Sudeste Asiático
Índice:
O Relatório de Atividade APT do 2º-3º trimestre de 2024 da ESET destaca grupos afiliados à China liderando operações globais APT com campanhas visando coleta de inteligência sendo uma das ameaças mais comuns e persistentes. O grupo de espionagem ligado à China conhecido como Billbug foi observado invadindo várias organizações no Sudeste Asiático em diversos setores industriais ao longo de agosto de 2024 e fevereiro de 2025 utilizando novas ferramentas personalizadas, como carregadores, malware de furto de informações, e uma utilidade de SSH reverso.
Detectar Ataques Billbug de Agentes Ameaçadores Ligados à China
Com as tensões globais continuando a aumentar, os agentes de ameaça patrocinados por estados estão se tornando mais ativos e sofisticados em seus métodos. A ciberespionagem ganhou destaque, com ataques se tornando mais direcionados e difíceis de detectar. Um exemplo recente é uma campanha do grupo Billbug, ligado à China, que tem focado em organizações em toda a Ásia.
Para superar ameaças emergentes e ficar à frente de potenciais ataques Billbug contra sua organização, a Plataforma SOC Prime oferece um conjunto de regras Sigma relevantes que abordam as TTPs dos atacantes. Pressione o botão Explorar Detecções abaixo para acessar imediatamente o conjunto de regras dedicadas.
As regras são compatíveis com várias soluções SIEM, EDR, e Data Lake e mapeadas para MITRE ATT&CK® para agilizar a investigação de ameaças. As detecções também são enriquecidas com metadados extensos, incluindo CTI links, cronogramas de ataque, recomendações de triagem, e mais.
Profissionais de segurança que buscam mais conteúdo de detecção abordando TTPs usados por atores apoiados por nações, podem navegar pelo Threat Detection Marketplace utilizando a tag “APT” para se aprofundar em uma coleção mais ampla de algoritmos de detecção e intel de ameaças em tempo real suportados por um conjunto completo de produtos para engenharia de detecção com IA, caça a ameaças automatizada e detecção avançada de ameaças.
Análise do Ataque Billbug
O grupo apoiado pela China, rastreado como Billbug (também conhecido como Lotus Blossom, Lotus Panda, Bronze Elgin, Spring Dragon, ou Thrip), conduziu uma série de ataques de ciber-espionagem contra organizações do Sudeste Asiático, infiltrando um ministério do governo, uma agência de controle de tráfego aéreo, um provedor de telecomunicações, e uma empresa de construção. Os adversários também invadiram uma agência de notícias em um país do Sudeste Asiático e um operador de carga aérea em um país vizinho, utilizando um conjunto de ferramentas personalizadas, incluindo carregadores, ladrões de credenciais, e uma utilidade de SSH reverso.
O Billbug está ativo na arena de ameaças cibernéticas desde pelo menos 2009. Anteriormente, o Billbug foi observado usando o PsExec para implantar o Infostealer Catchamas, levando à descoberta de mais intrusões nos EUA e no Sudeste Asiático nos setores de defesa, geoespacial e telecomunicações. Desde 2019, o Billbug tem usado backdoors personalizados como Hannotog e Sagerunex junto com shells de persistência em evolução para segmentar entidades militares, de mídia e educacionais em toda a Ásia. Suas operações atingiram com sucesso órgãos estatais, manufaturados, telecomunicações e alvos de mídia nas Filipinas, Vietnã, Hong Kong e Taiwan. Em 2022, o grupo notavelmente invadiu uma autoridade de certificação, levantando preocupações sobre o potencial abuso de certificados digitais para ataques furtivos.
Entre algumas das intrusões do grupo, os atacantes abusaram de executáveis legítimos da Trend Micro e Bitdefender para carregar DLLs maliciosas. Variantes de log.dll e outro módulo, sqlresourceloader.dll, também foram observados carregados. A última pesquisa da Symantec revela que durante os ataques contra o Sudeste Asiático, o grupo empregou o ChromeKatz e o CredentialKatz para coletar credenciais e cookies do Chrome juntamente com um escutador personalizado de SSH reverso na porta 22. Além disso, os adversários exploraram a ferramenta pública de tunelamento P2P Zrok para expor serviços internos, e datechanger.exe para falsificar carimbos de data/hora de arquivos e frustrar a análise forense.
Um aumento na atividade de ciberespionagem ligada a atores apoiados pela China continua a levantar preocupações em todo o panorama global de cibersegurança. O grupo APT Billbug, ativo desde pelo menos 2009, intensificou operações visando setores críticos no Sudeste Asiático, incluindo governo, telecomunicações, aviação e mídia. Aproveitando ferramentas personalizadas, ladrões de credenciais, ouvintes reversos de SSH e malware carregado, o grupo demonstra um foco consistente em furtividade e persistência. Isso ressalta a necessidade urgente de organizações reforçarem suas defesas e se manterem à frente das táticas APT em evolução. As organizações podem contar com o conjunto completo de produtos da SOC Prime, respaldado por IA e fundindo tecnologias de ponta, para otimizar a postura de cibersegurança da organização em termos de risco.
