Hackers lançam campanha de espionagem com foco na infraestrutura de tecnologia na África

Um grupo hacker de ciberespionagem vinculado à China, conhecido como APT41, foi atribuído a uma nova campanha que tem como alvo os serviços de TI governamentais na região africana.

"Os hackers utilizaram nomes de serviços internos, endereços IP e servidores proxy codificados em seus malwares", afirmaram os pesquisadores da Kaspersky, Denis Kulik e Daniil Pogorelov. "Um dos servidores de comando e controle (C2) era um servidor SharePoint cativo dentro da infraestrutura da vítima."

A APT41 é a denominação de um prolífico grupo hacker chinês ligado ao Estado, conhecido por alvejar organizações em múltiplos setores, incluindo telecomunicações, provedores de energia, instituições educacionais, organizações de saúde e empresas de TI em mais de três dezenas de países.

O que torna essa campanha notável é seu foco na África, que, como observou a empresa russa de cibersegurança, "havia experimentado a menor atividade" desse invasor específico. Dito isso, as descobertas se alinham com observações anteriores da Trend Micro de que o continente tem estado na mira desde o final de 2022.

A Kaspersky informou que iniciou uma investigação após encontrar "atividade suspeita" em várias estações de trabalho associadas à infraestrutura de TI de uma organização não identificada. Essa atividade envolvia os hackers executando comandos para verificar a disponibilidade de seu servidor C2, seja diretamente ou através de um servidor proxy interno na entidade comprometida.

"A fonte da atividade suspeita acabou sendo um host não monitorado que havia sido comprometido", observaram os pesquisadores. "O Impacket foi executado nele no contexto de uma conta de serviço. Após a conclusão dos módulos Atexec e WmiExec, os hackers suspenderam temporariamente suas operações."

Pouco depois, os invasores teriam coletado credenciais associadas a contas privilegiadas para facilitar a escalada de privilégios e o movimento lateral, implantando, por fim, o Cobalt Strike para comunicação C2 usando carregamento lateral de DLL.

As DLLs maliciosas incorporam uma verificação para verificar os pacotes de idiomas instalados no host e prosseguem com a execução apenas se os seguintes pacotes de idiomas não forem detectados: japonês, coreano (Coreia do Sul), chinês (China Continental) e chinês (Taiwan).

O ataque também se caracteriza pelo uso de um servidor SharePoint hackeado para fins de C2, utilizando-o para enviar comandos que são executados por um malware baseado em C# carregado nos hosts da vítima.

"Eles distribuíram arquivos chamados agents.exe e agentx.exe via protocolo SMB para se comunicar com o servidor", explicou a Kaspersky. "Cada um desses arquivos é, na verdade, um trojan C# cuja função principal é executar comandos recebidos de um web shell chamado CommandHandler.aspx, que é instalado no servidor SharePoint."

Esse método combina a implantação tradicional de malware com táticas "living-off-the-land", onde serviços confiáveis como o SharePoint são transformados em canais de controle secretos. Esses comportamentos se alinham com técnicas categorizadas no MITRE ATT&CK, incluindo T1071.001 (Protocolos Web) e T1047 (WMI), tornando-os difíceis de detectar usando apenas ferramentas baseadas em assinatura.

Além disso, os hackers foram vistos realizando atividades de acompanhamento em máquinas consideradas valiosas após o reconhecimento inicial. Isso é feito executando um comando cmd.exe para baixar de um recurso externo um arquivo HTA (HTML Application) malicioso contendo JavaScript incorporado e executá-lo usando mshta.exe.

A natureza exata da carga útil entregue pela URL externa, um domínio que imita o GitHub ("github.githubassets[.]net") para evadir a detecção, é atualmente desconhecida. No entanto, uma análise de um dos scripts distribuídos anteriormente mostra que ele é projetado para gerar um shell reverso, concedendo aos invasores a capacidade de executar comandos no sistema infectado.

Também foram utilizados nos ataques stealers e utilitários de coleta de credenciais para coletar dados sensíveis e exfiltrar os detalhes através do servidor SharePoint. Algumas das ferramentas implantadas pelo hacker estão listadas abaixo:

• Pillager, embora uma versão modificada, para roubar credenciais de navegadores, bancos de dados e utilitários administrativos como MobaXterm; código-fonte; capturas de tela; sessões e dados de chat; mensagens de e-mail; sessões SSH e FTP; lista de aplicativos instalados; saída dos comandos systeminfo e tasklist; e informações de conta de aplicativos de chat e clientes de e-mail.

• Checkout para roubar informações sobre arquivos baixados e dados de cartão de crédito salvos em navegadores web como Yandex, Opera, OperaGX, Vivaldi, Google Chrome, Brave e Cốc Cốc.

• RawCopy para copiar arquivos de registro brutos.

• Mimikatz para despejar credenciais de conta.

"Os hackers utilizam uma vasta gama de ferramentas, tanto personalizadas quanto publicamente disponíveis", disse a Kaspersky. "Especificamente, eles usam ferramentas de teste de penetração como Cobalt Strike em várias etapas de um ataque."

"Os invasores são rápidos em se adaptar à infraestrutura de seus alvos, atualizando suas ferramentas maliciosas para levar em conta características específicas. Eles podem até mesmo aproveitar serviços internos para comunicação C2 e exfiltração de dados."

Esta operação também destaca a linha tênue entre as ferramentas de "red team" e a simulação de adversários do mundo real, onde hackers utilizam frameworks públicos como Impacket, Mimikatz e Cobalt Strike junto com implantes personalizados. Essas sobreposições representam desafios para as equipes de detecção focadas em movimento lateral, acesso a credenciais e evasão de defesa em ambientes Windows.

Via - THN