usa-2058430_1280.jpg

Hackers que podem ser chineses voltam a espionar o Vaticano

Da Redação
25/11/2020

O grupo Mustang Panda, também conhecido como TA416 e RedDelta, que segundo especialistas está baseado na China, parece ter reiniciado as operações de espionagem sobre redes de dados do Vaticano. O grupo havia feito uma campanha em julho deste ano, mas ela foi suspensa após a publicação de um relatório sobre o assunto, publicado pela empresa Recorded Future. Agora, o grupo volta com um arsenal atualizado de ferramentas de hacking segundo a empresa Proofpoint.

O grupo é conhecido por seus ataques a organizações que participam das relações entre o Vaticano e o Partido Comunista Chinês, e ataques contra organizações em Mianmar. A nova campanha de malware parece ser uma continuação dessa atividade, dizem os especialistas da Proofpoint.

As alterações no arsenal dos criminosos incluem o uso de uma nova versão do downloader do cavalo de Troia de acesso remoto PlugX, escrito na linguagem Golang.

Veja isso
Hackers da Rússia, China e Irã tentam interferir nas eleições dos EUA
EUA acusam hackers chineses de roubar dados sobre vacina da covid-19

Os invasores usam iscas de phishing para atingir pessoas que trabalham no relacionamento entre o Vaticano e o Partido Comunista Chinês: eles enviam e-mails falsos em nome de jornalistas da União de Notícias Católica da Ásia. Como parte dos ataques, os hackers usaram arquivos RAR como downloaders de PlugX, mas o vetor de entrega desses arquivos ainda não foi determinado. No entanto, o grupo é conhecido por usar URLs do Google Drive e do Dropbox nos seus e-mails de phishing.

Os arquivos RAR usados ​​na campanha incluem uma carga (payload) PlugX criptografada, um executável Adobe sideload legítimo e um binário Golang para descriptografia e download de mais outras peças de malware.

De acordo com a Proofpoint, esta foi a primeira vez que os invasores usaram um binário Golang em seus ataques. Embora tenha um novo tipo de arquivo, o loader PlugX não mudou sua funcionalidade – ele executa o PlugX e também garante sua persistência no sistema. O endereço IP do servidor C&C foi hospedado pelo provedor de serviços de Internet chinês Anchnet Asia Limited e esteve em uso de pelo menos entre 24 de agosto e 28 de setembro de 2020. Como o endereço IP não está mais em uso, presume-se que os invasores estejam trabalhando para mudar sua infraestrutura.

Com agências internacionais

Compartilhar: