Detecção de Ataques da Formiga Tecelã: Grupo Chinês Alvo de um Provedor de Telecomunicações na Ásia Usando Múltiplas Web Shells, Incluindo China Chopper
Índice:
APT grupos da China foram classificados entre as principais ameaças cibernéticas globais ao lado da Coreia do Norte, Rússia e Irã, exibindo capacidades ofensivas aprimoradas e representando desafios significativos para o cenário de cibersegurança. Após a recente revelação da Operação AkaiRyū pela MirrorFace (também conhecida como Earth Kasha), os atacantes vinculados à China estão atacando novamente. Desta vez, pesquisadores de segurança relatam sobre a operação ofensiva de longa duração do grupo Weaver Ant, que passou anos na rede de um provedor de serviços de telecomunicações para ciberespionagem.
Detectar Ataques Weaver Ant
Em meio ao aumento das tensões geopolíticas, atores patrocinados por nações intensificaram suas atividades maliciosas, empregando técnicas avançadas para alcançar seus objetivos estratégicos. A ciberespionagem tornou-se um foco principal, com operações cada vez mais direcionadas e encobertas. Um exemplo recente é a operação Weaver Ant APT, que utilizou táticas sofisticadas de shell web para infiltrar-se em um grande provedor de telecomunicações na Ásia. Este incidente destaca a complexidade e precisão crescentes das ameaças cibernéticas no cenário geopolítico atual.
Para superar ameaças emergentes e estar no topo dos possíveis ataques Weaver Ant, Plataforma SOC Prime oferece um conjunto de regras Sigma relevantes que abordam TTPs dos atores de ameaça. Basta clicar no botão Explorar Detecções abaixo e acessar imediatamente um conjunto dedicado de regras.
As regras são compatíveis com várias soluções SIEM, EDR e Data Lake e estão mapeadas para MITRE ATT&CK® para agilizar a investigação de ameaças. As detecções também são enriquecidas com metadados extensos, incluindo CTI links, cronogramas de ataque, recomendações de triagem e mais.
Profissionais de segurança em busca de mais conteúdo de detecção abordando TTPs usados por atores patrocinados por nações podem navegar pelo Threat Detection Marketplace usando o termo “APT” para acessar uma coleção mais ampla de algoritmos de detecção e inteligência de ameaças em tempo real, apoiados por um conjunto completo de produtos para engenharia de detecção apoiada por IA, caça a ameaças automatizada e detecção avançada de ameaças.
Análise de Ataques Weaver Ant
O grupo de hackers vinculado à China rastreado pela Sygnia como Weaver Ant foi observado empregando táticas avançadas de shell web para atacar um grande provedor de telecomunicações na Ásia. Os atacantes demonstraram persistência notável contra várias tentativas de erradicação, infiltrando-se na rede por mais de quatro anos. Eles usaram uma rede ORB não provisionada para proxy de tráfego e esconder sua infraestrutura, empregando principalmente roteadores Zyxel CPE comprometidos de provedores de telecomunicações do Sudeste Asiático, o que lhes permitiu pivotar entre as telecomunicações.
Weaver Ant implantou múltiplos payloads, incluindo shells web básicos como canais para payloads mais avançados, como uma ferramenta de tunelamento recursivo que facilitou o tunelamento HTTP para acessar recursos internos. Este último permitiu que os hackers navegassem suavemente por vários ambientes web e mantivessem adaptabilidade operacional. Weaver Ant também empregou shells web para movimento lateral. Weaver Ant empregou métodos de evasão de defesa para exfiltrar dados discretamente, sem detecção, como captura de tráfego de rede passivo via espelhamento de porta. Em vez de aplicar shells web independentes, Weaver Ant empregou uma técnica chamada “tunelamento de shell web,” que direciona o tráfego entre servidores em diferentes segmentos de rede, criando uma rede C2 oculta. Cada shell atua como um proxy, transmitindo payloads criptografados para exploração mais profunda da rede. Além disso, Weaver Ant implantou DLLs trojanizadas para infectar sistemas.
Pesquisadores investigando a violação descobriram várias variantes do backdoor China Chopper junto com um novo shell web personalizado chamado “INMemory” que executa payloads diretamente na memória do host. Adversários ganharam acesso à rede ao implantar uma iteração do shell web China Chopper criptografada com AES, permitindo controle remoto de servidores e bypass de proteções de firewall.
China Chopper fornece capacidades ofensivas avançadas, como gerenciamento de arquivos, execução de comandos e exfiltração de dados. Seu tamanho compacto e natureza furtiva o tornam perfeito para manter acesso persistente, permitir exploração adicional e evitar detecção por sistemas de segurança convencionais. Sua versatilidade e facilidade de uso o tornaram uma ferramenta popular para realizar uma variedade de atividades maliciosas em sistemas comprometidos. O segundo shell web chamado “INMemory” opera decodificando uma string GZipped Base64 embutida em um Executável Portátil (PE) chamado ‘eval.dll’, que então roda inteiramente na memória para evitar detecção.
Além disso, Weaver Ant usou compartilhamentos SMB e contas de alto privilégio de longa data, muitas vezes autenticadas através de hashes NTLM, para movimentar-se lateralmente dentro da rede. Ao longo de quatro anos, eles coletaram arquivos de configuração, logs e credenciais para mapear o ambiente e direcionar sistemas chave. O grupo focou em inteligência de rede e acesso contínuo à infraestrutura de telecomunicações, em vez de roubar dados de usuários, alinhando-se com a espionagem patrocinada pelo estado.
A sofisticação aumentada dos ataques do Weaver Ant e o uso de técnicas avançadas de evasão de detecção exigem ultra-responsividade dos defensores. Para minimizar os riscos da atividade altamente persistente do Weaver Ant, os defensores recomendam a implementação de controles de tráfego de rede interno, ativação de logging completo de IIS e PowerShell, aplicação de princípios de menor privilégio e rotação frequente de credenciais de usuários. As organizações podem contar com o conjunto completo de produtos da SOC Prime apoiado por IA e fundindo tecnologias de ponta para otimizar o risco da postura de cibersegurança da organização.
