O grupo hacker identificado como DEV-0147, patrocinado pelo governo chinês, foi flagrado tentando invadir órgãos diplomáticos na América do Sul com o trojan de acesso remoto (RAT) ShadowPad, também conhecido como PoisonPlug.
A Microsoft compartilhou as descobertas no Twitter na segunda-feira, 13, dizendo que a nova campanha do DEV-0147 representa uma expansão notável das operações de exfiltração de dados do grupo que anteriormente visavam agências governamentais e think tanks na Ásia e na Europa.
Do ponto de vista técnico, a gigante da tecnologia disse ter observado o DEV-0147 implantar o ShadowPad, um RAT associado a outros grupos hackers baseados na China, para obter persistência, e o QuasarLoader, um carregador de webpack, para baixar e executar malware adicional.
“Os ataques do DEV-0147 na América do Sul incluíram atividade pós-exploração envolvendo ataque à infraestrutura de identidade local para reconhecimento e movimento lateral e o uso do Cobalt Strike para comando e controle e exfiltração de dados”, diz uma das postagens da empresa no Twitter. “O Microsoft 365 Defender detecta esses ataques do DEV-0147 por meio do Microsoft Defender for Identity e do Defender for Endpoint. As organizações também são fortemente aconselhadas a impor [autenticação multifator] MFA”, acrescenta a nota.
O DEV-0147 não é o único grupo hacker na China que está usando o ShadowPad nos últimos tempos. Um comunicado de junho do ano passado da Kaspersky verificou operadores de ameaças chineses usando o malware para atingir servidores Microsoft Exchange não corrigidos em diferentes países asiáticos.
Veja isso
Microsoft acusa China de usar alerta de bug para criar dia zero
China acusa NSA de atacar academia aeroespacial
De acordo com pesquisadores de segurança da Secureworks, o ShadowPad evoluiu do malware PlugX. Ele é frequentemente empregado por grupos adversários chineses ligados ao Ministério da Segurança do Estado (MSS) e ao Exército Popular de Libertação (PLA).
“As evidências disponíveis a partir dessa publicação sugerem que o ShadowPad foi implantado por grupos de ameaças afiliados ao MSS, bem como grupos de ameaças afiliados ao PLA que operam em nome dos comandos regionais”, diz um comunicado da Secureworks de fevereiro de 2022. “O malware provavelmente foi desenvolvido por operadores de ameaças afiliados ao Bronze Atlas e depois compartilhado com grupos de ameaças MSS e PLA por volta de 2019. Dada a variedade de grupos que utilizam o ShadowPad, todas as organizações que são prováveis alvos de grupos de ameaças chineses devem monitorar [táticas, técnicas e procedimentos] TTPs associados a este malware.”