- Grupo apoiado pelo Estado chinês Silver Dragon tem como alvo governos
- Os invasores exploram os serviços do Google Cloud e do Windows para fins furtivos
- O backdoor personalizado do GearDoor permite a exfiltração de dados secretos
Atores de ameaças patrocinados pelo Estado chinês que exploram serviços legítimos do Windows e do Google Cloud estão se escondendo enquanto espionam seus alvos no Sudeste Asiático e na Europa.
Novo anunciar da Check Point Research (CPR) revela como o grupo denominado Silver Dragon está ativo desde pelo menos meados de 2014, em países europeus como Rússia, Polónia, Hungria e Itália – mas também Japão, Myanmar e Malásia.
Silver Dragon parece fazer parte do APT41, um infame ator patrocinado pelo Estado que está principalmente envolvido em espionagem cibernética.
Aproveitando o “ruído” comum
Os ataques geralmente começam com endereços de phishing, falsificação de identidade de comunicações oficiais e compartilhamento de documentos e links criptografados. Alternativamente, um grupo de sistemas expostos à Internet iria para servidores e se aprofundaria nas redes internas para desenvolver ferramentas adicionais.
No centro da campanha está o costume um backdoor chamado GearDoor que, em vez do servidor shadow usual, usa a infraestrutura de comando e controle (C2) do próprio Google Drive. Cada dispositivo infectado cria uma pasta do Google Cloud em um sistema dedicado, retorna pacotes de dados periódicos e envia comandos ao operador de maneira regular.
Toda a inteligência furtiva caiu no mesmo lugar.
Silver Dragon também foi visto sequestrando serviços legítimos do Windows, parando-os e reiniciando-os para carregá-los com código malicioso com seu nome. Isso inclui atualizações do Windows, Bluetooth e utilitários .NET Framework.
Ao interferir na atividade normal do sistema, os invasores podem permanecer no sistema por mais tempo sem serem detectados pelos defensores. A CPR afirma que a tecnologia militar funciona particularmente bem em grandes ambientes “onde as operações do sistema geram ruído rotineiro”.
Os hackers também estão desenvolvendo ferramentas por trás de uma ampla gama de explorações, como SSHcmd ou Cobalt Strike. É um utilitário SSH leve que permite execução remota e transferência de arquivos, enquanto a ferramenta de pententing Cobalt Strike é comumente usada por agentes de ameaças.
“Em vez de depender apenas da infraestrutura, os atores alinhados ao Estado dependem cada vez mais de si mesmos em sistemas empresariais legítimos e serviços em nuvem. Isso reduz a visibilidade das defesas perimetrais tradicionais e amplia o tempo que passam dentro de redes direcionadas”, concluiu o CPR.
“Para a liderança executiva, a implicação é clara: a detecção não está mais limitada a malware óbvio ou links externos suspeitos. O risco agora inclui o uso indevido sutil de serviços legítimos, plataformas de nuvem e sistemas operacionais principais.”
O melhor antivírus para todos os orçamentos
Siga o TechRadar no Google Notícias e adicione-nos para encomendar a primavera para obter notícias, análises e opiniões de especialistas em seu feed. Certifique-se de clicar no botão Seguir!
E é claro que você também pode Siga o TechRadar no TikTok Receba notícias, análises, unboxings em formato de vídeo e atualizações regulares nossas whatsapp também
