Detecção de Malware Merdoor: Lancefly APT Utiliza um Backdoor Furtivo em Ataques Prolongados contra Organizações no Sul e Sudeste Asiático
Índice:
Um novo coletivo de hackers, rastreado como Lacefly APT, foi recentemente observado aplicando uma backdoor personalizada Merdoor para atacar organizações nos setores de governo, telecomunicações e aviação no Sul e Sudeste Asiático. De acordo com os últimos relatórios, essas invasões direcionadas apontam para uma campanha de adversários de longa duração que utiliza um exemplo de Merdoor, com os primeiros vestígios datando de 2018.
Detectando a Backdoor Merdoor por Lancefly
Lancefly APT é um novo jogador na área que conseguiu passar despercebido por anos, direcionando-se secretamente a organizações com uma backdoor personalizada Merdoor. Para ajudar os defensores cibernéticos a suportarem proativamente os potenciais ataques, a Plataforma Detection as Code da SOC Prime agregou uma regra Sigma relevante para identificar comportamentos suspeitos associados ao Merdoor:
Esta regra por nosso perspicaz desenvolvedor do Threat Bounty Phyo Paing Htun é compatível com 21 plataformas SIEM, EDR, XDR, e BDP e mapeada para a estrutura MITRE ATT&CK v12 abordando táticas de Evasão de Defesa com a técnica Modificar Registro (T1112) como técnica correspondente.
Caçadores de Ameaças e Engenheiros de Detecção que buscam formas de monetizar suas habilidades profissionais enquanto contribuem para um amanhã mais seguro são mais do que bem-vindos para fortalecer as fileiras da defesa cibernética coletiva aderindo ao Programa Threat Bounty. Envie suas próprias regras Sigma, faça com que sejam verificadas e publicadas em nosso Threat Detection Marketplace, e receba pagamentos recorrentes por sua valiosa contribuição.
Devido à ameaça crescente imposta por coletivos APT, profissionais de segurança estão buscando uma fonte confiável de conteúdo de detecção para identificar ataques cibernéticos associados em tempo hábil. Aperte o botão Explorar Detecções abaixo e vá imediatamente para a coleção completa de regras Sigma para detectar ferramentas e técnicas de ataque associadas a grupos APT. Todos os algoritmos de detecção são acompanhados pelas referências ATT&CK correspondentes, links de inteligência de ameaças e outros metadados relevantes.
Análise da Backdoor Merdoor
De acordo com uma investigação do Symantec Threat Labs, uma campanha de adversários que tem estado ativa na arena maliciosa por meia década, mas veio à tona em maio de 2023. Nessas intrusões de longa duração, um novo coletivo APT com o codinome Lacefly utiliza uma backdoor Merdoor recentemente descoberta, visando organizações em vários setores industriais na Ásia. Os especialistas descobriram que os atores da ameaça também aplicaram Merdoor em seu kit de ferramentas de adversários anteriormente em 2020 e 2021, o que aponta para algumas semelhanças com os ataques cibernéticos mais recentes.
De acordo com o relatório, os atores da ameaça Lancefly concentram-se amplamente na atividade de ciberespionagem, esforçando-se para coletar inteligência de usuários comprometidos. O malware Merdoor aplicado nas campanhas sofisticadas tem estado em destaque desde pelo menos 2018. O malware é um arquivo autoextraível capaz de se instalar como um serviço, realizar a captura de teclas e usar um conjunto abrangente de métodos para comunicação com o servidor C2.
Em operações maliciosas anteriores, os atores Lancefly aproveitaram o vetor de ataque de phishing, enquanto na última campanha, os vetores de ataque iniciais poderiam ser força bruta de SSH ou um servidor exposto ao público. Além disso, nos ataques mais recentes, os atores da ameaça exibiram padrões de comportamento semelhantes às suas campanhas anteriores, usando um conjunto de técnicas não maliciosas para extrair credenciais de usuários nos sistemas alvo, como PowerShell e versões mascaradas de ferramentas legítimas.
A infecção comum do Merdoor começa com a injeção da backdoor em um dos processos legítimos (perfhost.exe or svchost.exe), seguida por sua conexão com o servidor C2. Além disso, os atacantes executam comandos para injeção de processos ou para despejar a memória LSASS, o que lhes permite roubar credenciais de usuários e obter acesso estendido às redes alvo. Em seguida, os adversários podem usar um gerenciador de arquivos WinRAR disfarçado antes da exfiltração de dados. Além disso, os atores Lancefly foram vistos usando Blackloader e Prcloader, que estão ligados ao notório malware PlugX. Na campanha mais recente, o coletivo de hackers também aproveitou uma versão atualizada do rootkit ZXShell, que é mais avançada do que suas iterações anteriores, sendo menor em tamanho e aplicando técnicas de evasão de detecção mais sofisticadas.
Os atores da ameaça Lancefly podem estar vinculados ao grupo APT41 devido ao certificado comum do rootkit ZXShell; no entanto, este último, assim como outros atores de ameaça apoiados pela China, é conhecido por compartilhar certificados com outros adversários. Além disso, Lancefly pode estar afiliado à atividade adversária dos grupos APT chineses devido ao uso de PlugX e ShadowPad em suas campanhas, que são comumente usados no kit de ferramentas adversário dos atores apoiados pelo estado chinês. Ainda assim, não há evidências suficientes para vincular a atividade maliciosa de Lancefly a nenhum dos notórios coletivos de hackers.
Com os volumes crescentes de ataques destrutivos atribuídos a coletivos de hackers apoiados por nações, incluindo grupos APT chineses que causam estragos na arena de ameaças cibernéticas, os defensores cibernéticos estão buscando maneiras de otimizar o risco de sua postura de segurança cibernética. Com a SOC Prime, mais de 900 regras Sigma para ferramentas e ataques cibernéticos relacionados a APT estão a apenas um clique de distância! Obtenha mais de 200 regras Sigma gratuitamente ou adquira toda a pilha de detecção sob demanda em my.socprime.com/pricing.
