A equipe de pesquisa de ameaças da Proofpoint detalha uma recente campanha de espionagem cibernética direcionada a entidades globalmente e conduzida por um agente de ameaças publicamente que foi atribuída em 2021 por vários governos e foi o foco de uma acusação de 2021 pelo Departamento de Justiça dos EUA. Os alvos desta campanha recente abrangeram Austrália, Malásia e Europa, bem como entidades que operam no Mar da China Meridional. A pesquisa da Proofpoint foi auxiliada pela equipe da PwC Threat Intelligence para fornecer à comunidade de segurança da informação uma visão abrangente da atividade de ameaça descrita.
Introdução
A Proofpoint e a PwC Threat Intelligence identificaram conjuntamente uma campanha de espionagem cibernética, ativa desde abril de 2022 até junho, entregando a estrutura de exploração ScanBox para alvos que visitam um domínio malicioso que se apresenta como um site de notícias australiano. Os esforços conjuntos dos pesquisadores da Proofpoint e da PwC fornecem uma avaliação moderada de confiança de que campanhas recentes direcionadas ao governo federal, energia e setores de manufatura globalmente podem representar esforços recentes da TA423 / Red Ladon. A atividade que se sobrepõe a esse ator de ameaça foi publicamente referida em acusações governamentais como “APT40” e “Leviathan”. Este blog analisa a estrutura e os recursos da amostra do ScanBox e dos plugins identificados nesta campanha.
Os detalhes do blog:
- Campanhas recentes de phishing direcionadas que usam URLs representando entidades de mídia australianas para fornecer a estrutura de reconhecimento ScanBox;
- Como esse script ScanBox personalizado e módulos relacionados funcionam;
- Como essa campanha se correlaciona com a atividade de ameaças desde junho de 2021, que aproveitou a injeção de modelo RTF;
- A história do framework ScanBox; e,
- O foco de direcionamento do TA423/Red Ladon em organizações domésticas australianas, bem como entidades envolvidas com exploração de energia offshore no Mar da China Meridional.
TA423 / Red Ladon: TA423 / Red Ladon é um agente de ameaças baseado na China e motivado por espionagem que está ativo desde 2013, visando uma variedade de organizações em resposta a eventos políticos na região da Ásia-Pacífico, com foco no Sul Mar da China. As organizações visadas incluem empreiteiros de defesa, fabricantes, universidades, agências governamentais, escritórios de advocacia envolvidos em disputas diplomáticas e empresas estrangeiras envolvidas com a política da Australásia ou operações no Mar da China Meridional.
TA423 / Red Ladon tem como alvo o governo australiano e as frotas de turbinas eólicas no Mar da China Meridional
A partir de 12 de abril de 2022 e continuando até meados de junho de 2022, a Proofpoint identificou várias ondas de uma campanha de phishing que resultou na execução da estrutura de reconhecimento do ScanBox, em parte com base na inteligência compartilhada pela PwC Threat Intelligence relacionada à atividade do ScanBox em andamento. A campanha de phishing envolvia URLs entregues em e-mails de phishing, que redirecionavam as vítimas para um site malicioso que se apresentava como um meio de comunicação australiano. A página de destino do site forneceu uma carga útil de malware do JavaScript ScanBox para alvos selecionados. Em casos históricos, o ScanBox foi entregue a partir de sites que foram vítimas de ataques de comprometimento estratégico da Web (SWC) com sites legítimos sendo injetados com código JavaScript malicioso. Nesse caso, o agente da ameaça controla o site malicioso e entrega o código malicioso a usuários desavisados.
Um ScanBox Primer: ScanBox, detalhado em código aberto já em 2014 pela AlienVault , é uma estrutura de reconhecimento e exploração da Web baseada em JavaScript que permite aos agentes de ameaças traçar o perfil das vítimas e entregar mais malware a alvos de interesse selecionados. A PwC Threat Intelligence avalia que é altamente provável que o ScanBox seja compartilhado de forma privada entre vários agentes de ameaças baseados na China.
Os seguintes agentes de ameaças baseados na China foram observados usando o ScanBox:
- Red Sylvan (também conhecido como APT3, Panda Gótico);
- Red Apollo (também conhecido como APT10, Stone Panda);
- Red Phoenix (também conhecido como APT27, Emissário Panda);
- TA423 / Red Ladon (também conhecido como APT40, Leviathan, GADOLINIUM);
- Red Dev 16 (aka Evil Eye, Earth Empusa, Poison Carp ); e,
- TA413 / White Dev 9 (também conhecido como LuckyCat).
TA423 / A atividade do ScanBox de 2018 da Red Ladon visando o Camboja envolveu domínios disfarçados de sites de notícias e entidades governamentais de alto perfil, incluindo a Comissão Nacional de Eleições. Um dos domínios de servidor ScanBox usados nessa campanha, mlcdailynews[.]com, hospedou vários artigos sobre assuntos cambojanos e relações entre EUA e Ásia Oriental, cujos conteúdos foram copiados de publicações legítimas (Khmer Post, Asia Times, Reuters, Associated Press) . Eles provavelmente foram usados como iscas em e-mails de phishing para convencer os alvos a seguir links maliciosos para o domínio ScanBox controlado pelo ator.
A Campanha ScanBox 2022
A campanha ScanBox de abril de 2022 a junho de 2022 teve como alvo principal:
- agências governamentais australianas locais e federais;
- empresas de mídia de notícias australianas; e,
- fabricantes globais da indústria pesada que realizam manutenção de frotas de turbinas eólicas no Mar da China Meridional.
Isso demonstrou a aproximação de alvos envolvidos nos assuntos governamentais australianos, bem como na produção de energia offshore no Mar da China Meridional. A Proofpoint observou anteriormente uma segmentação semelhante em junho de 2021 pelo TA423 / Red Ladon, em que o agente da ameaça entregaria um downloader no formato DLL por meio de injeção de modelo RTF. A campanha mostrou uma consistência de vitimologia abrangendo treze meses e unindo diversas táticas, técnicas e procedimentos de phishing (TTPs).
As campanhas de phishing relacionadas ao ScanBox identificadas de abril a junho de 2022 originaram-se de endereços de e-mail do Gmail e Outlook que a Proofpoint avalia com confiança moderada foram criados pelo agente da ameaça e utilizaram uma variedade de assuntos, incluindo “licença médica”, “pesquisa de usuário” e “Solicitar Cooperação.” O agente da ameaça frequentemente se apresentava como um funcionário da publicação de mídia fictícia “Australian Morning News”, fornecendo uma URL para o domínio malicioso e solicitando alvos para visualizar seu site ou compartilhar conteúdo de pesquisa que o site publicaria.
Em e-mails, o agente da ameaça alegou estar iniciando um “humilde site de notícias” (sic) e solicitou feedback do usuário ao fornecer um link para australianmorningnews[.]com. Embora isso não represente uma publicação de mídia australiana existente, ele copia o conteúdo de publicações de notícias legítimas (incluindo a BBC e a Sky News) que foram exibidas quando as vítimas navegaram para o site.
Ao clicar no link e redirecionar para o site, os visitantes foram atendidos pelo framework ScanBox. A representação de uma publicação de mídia fictícia local para alvos de interesse é uma tática que a Proofpoint e a PwC Threat Intelligence haviam observado anteriormente sendo usada em campanhas históricas TA423 / Red Ladon ScanBox identificadas antes das eleições cambojanas em 2018. O conteúdo dos e-mails e a técnica de URL maliciosa repetiram uma técnica observada anteriormente nas campanhas TA423/Red Ladon de setembro de 2021, detalhadas mais adiante neste blog, nas quais o agente da ameaça personificava publicações de mídia australianas com sua infraestrutura de entrega de malware.
Uma semelhança interessante com a atividade anterior pode ser observada em várias das campanhas identificadas de abril a maio de 2022. Os URLs maliciosos fornecidos nos e-mails também parecem usar valores personalizados para cada destino, embora todos redirecionem para a mesma página e veiculem a mesma carga maliciosa. Em uma instância, o agente da ameaça foi observado anexando a extensão URI “?p=23-<##>”. Parece que p=23 especifica o valor da página para a página de destino para a qual o usuário é redirecionado, enquanto a sequência numérica que a segue, por exemplo, “11” em “?p=23-11”, parece ser um identificador exclusivo para cada destinatário. A Proofpoint também observou URLs personalizados e destinos de redirecionamento de URL distintos para cada destino, nas campanhas anteriores do TA423 em março de 2022. Isso pode ser uma tentativa do agente da ameaça de correlacionar o tráfego com seus servidores.
- hxxp://australianmorningnews[.]com/?p=23-7
- hxxp://australianmorningnews[.]com/?p=23-11
- hxxp://australianmorningnews[.]com/?p=23-24
- hxxp://australianmorningnews[.]com/?p=23-27
Malware
O ScanBox pode fornecer código JavaScript em um único bloco ou, como é o caso da campanha de abril de 2022, como uma arquitetura modular baseada em plug-ins. Embora a entrega de todo o código de uma só vez permita aos agentes de ameaças funcionalidade total em um sistema de vítimas, os analistas de inteligência de ameaças da PwC avaliam que a principal motivação para carregar plug-ins seletivamente é provavelmente uma maneira de evitar falhas ou erros que possam alertar os proprietários de sites comprometidos. A PwC avalia que outra provável motivação para adotar uma arquitetura modular foi reduzir a visibilidade e o acesso dos pesquisadores aos plugins e ao conjunto de ferramentas do agente da ameaça.
As campanhas de maio a junho de 2022 entregaram o mesmo arquivo JavaScript com conteúdo semelhante ao que a PwC encontrou originalmente em amostras do ScanBox já em 2014:
SHA-256 | 7795936ed1bdb7a5756c1ff821b2dc8739966abbb00e3e0ae114ee728bf1cf1a |
Nome do arquivo | cwhe18nc |
Tipo de arquivo | JavaScript |
Tamanho do arquivo | 24.768 bytes |
.info.seed | 0c62cf7354f80d5519b71656540567a1 |
O arquivo malicioso executado nos navegadores da vítima foi originalmente hospedado na URL: hxxp://image[.]australianmorningnews[.]com/i/?cwhe18nc
Script principal e características gerais: A arquitetura modular do ScanBox funciona executando uma carga útil JavaScript principal e, em seguida, carregando módulos adicionais para criar o perfil da vítima. No final do código de seu módulo principal, o ScanBox configura sua configuração, que inclui o servidor C2 para contato (hxxp://image.australianmorningnews[.]com/i/ seguido por URLs específicos conforme descrito posteriormente neste blog ) e as informações a serem coletadas dos sistemas das vítimas, conforme visto na Figura 4 abaixo.
O script inicial coleta vários tipos de informações dos visitantes e serve como uma configuração para os estágios seguintes de coleta de informações e potencial exploração ou comprometimento subsequente. A partir da análise da PwC, os recursos do JavaScript ScanBox inicial executado nos navegadores da vítima incluem:
- Obtendo a hora atual;
- Obtendo o idioma do navegador da vítima;
- Instalar a versão principal e secundária do Adobe Flash no navegador da vítima, se houver;
- Verificar se o navegador da vítima é Safari ou Internet Explorer;
- Verificando se o C2 está ativo e respondendo;
- Envio de informações sobre o navegador da vítima de volta ao C2, incluindo:
- Versão do Flash instalada
- Localização (que é a URL que está sendo visitada);
- O URI do qual a vítima foi redirecionada;
- Título da página da web que está sendo visitada;
- Domínio sendo visitado;
- Referenciador;
- Agente de usuário;
- Bolacha;
- Codificação de caracteres;
- Largura e altura da tela;
- Sistema Operacional Subjacente;
- Linguagem;
- Profundidade de cor da tela;
- Carregando outros plugins do ScanBox e analisando suas respostas de volta ao JSON para enviar para o C2.
A arquitetura modular do ScanBox funciona enviando dados para diferentes scripts PHP responsivos hospedados em uma mesma pasta do lado do servidor, que em muitos casos nos últimos anos foi chamada de /i/, e que neste caso é hxxp://image[ .]australianmorningnews[.]com/i/. Os scripts executam diferentes funções, como segue:
Caminho do URI | Ação |
/i/v.php?m=b | Envie as informações da vítima de volta para o C2 |
/i/c.php?data= | Carregar um objeto JavaScript filho especificado |
/i/k.php?data= | Crie um iframe, ou substitua um, contendo os dados na URL |
/i/p.php?data= | Executar um plug-in do ScanBox |
/i/v.php?m=a&data= | Heartbeat para o servidor C2 para saber se o C2 está online |
/i/v.php?m=p&data= | Obter informações sobre o plug-in |
/i/v.php?m=plug | URL para o qual os plugins enviam os dados coletados de volta |
Os nomes dos scripts de uma letra combinam muito bem com sua funcionalidade, pois p.php se refere à execução de um plug-in do ScanBox, k.php está relacionado aos dados do keylogger, enquanto o v.php lida com as informações da vítima coletadas pelos scripts do ScanBox.
Versões modernas do ScanBox têm nomes de função prefixados por um conjunto aparentemente aleatório de 32 caracteres alfanuméricos (que podem representar um hash MD5), que também são referidos nos scripts do ScanBox como o parâmetro .info.seed. Identificamos outras amostras do script principal do ScanBox que incorporam diferentes parâmetros .info.seed dentro do script na URL:
hxxp://image[.]australianmorningnews[.]com/i/?cwhe18nc:
SHA-256 | 2f204f3b3abc97efc74b6fa016a874f9d4addb8ac70857267cc8e4feb9dbba26 |
Nome do arquivo | cwhe18nc.js |
Tipo de arquivo | JavaScript |
Tamanho do arquivo | 24.685 bytes |
.info.seed | 4845456f078aa3b7ed5221b8fcda5bb4 |
SHA-256 | 18db4296309da48665121899c62ed8fb10f4f8d22e44fd70d2f9ac8902896db1 |
Nome do arquivo | cwhe18nc.htm |
Tipo de arquivo | JavaScript |
Tamanho do arquivo | 24.518 bytes |
.info.seed | d78bd216a4811d8eba37576dbe186492 |
Cadeia de infecção e fluxo de controle do ScanBox
Plugin Keylogger: O plugin keylogger grava qualquer tecla pressionada pela vítima dentro do iframe criado pelo código ScanBox e envia os dados de volta para o C2. A PwC descreveu um módulo extremamente semelhante em um relatório de 2017 no ScanBox, com o código permanecendo praticamente o mesmo desde que os primeiros plugins de keylogger do ScanBox foram observados em 2014.
Plugins do navegador da vítima Identificação: Este plugin reúne o nome, nome do arquivo e descrição de qualquer plugin de navegador legítimo instalado no navegador da vítima, enviando o resultado de volta para o C2 como uma lista.
Plug-in de impressão digital do navegador: este plug-in reúne mais informações sobre o navegador da vítima, provavelmente para que o agente da ameaça entenda a superfície de ataque disponível e quais recursos podem ser necessários para exploração subsequente. Verifica, entre outros detalhes:
- Se o Java está instalado e, em caso afirmativo, qual versão;
- A versão do ActiveX instalada;
- Se aplicativos da Web Java específicos estão instalados;
- Se o navegador da vítima é Internet Explorer, iPhone, Firefox, Chrome, Safari, “Outro” da família Netscape, Opera ou “desconhecido”; e,
- Se a Microsoft Java Virtual Machine (MSJVM) está instalada no navegador da vítima.
Plug-in de conexão de pares: a PwC documentou anteriormente esse módulo em um relatório de 2017 (‘A ScanBox darkly’, PwC Cyber Threat Intelligence, CTO-TIB-20170713-01A). O módulo implementa WebRTC, uma tecnologia gratuita e de código aberto suportada em todos os principais navegadores, que permite que navegadores da Web e aplicativos móveis realizem comunicação em tempo real (RTC) sobre interfaces de programação de aplicativos (APIs). Isso permite que o ScanBox se conecte a um conjunto de destinos pré-configurados. Nesta amostra, os destinos são servidores STUN na seguinte URL:
stun:stun.l.google[.]com:19302, em um endereço legítimo do Google.
STUN (Session Traversal Utilities for NAT) é um conjunto padronizado de métodos, incluindo um protocolo de rede, que permite comunicações interativas (incluindo aplicativos de voz, vídeo e mensagens em tempo real) para atravessar gateways do conversor de endereços de rede (NAT). STUN é suportado pelo protocolo WebRTC. Por meio de um servidor STUN de terceiros localizado na Internet, ele permite que os hosts descubram a presença de um NAT e descubram o endereço IP mapeado e o número da porta que o NAT alocou para os fluxos do User Datagram Protocol (UDP) do aplicativo para remoto anfitriões. O ScanBox implementa a travessia de NAT usando servidores STUN como parte do Estabelecimento de Conectividade Interativa (ICE), um método de comunicação ponto a ponto usado para que os clientes se comuniquem o mais diretamente possível, evitando ter que se comunicar por meio de NATs, firewalls ou outras soluções.
Isso significa que o módulo ScanBox pode configurar comunicações ICE para servidores STUN e se comunicar com máquinas vítimas mesmo que estejam atrás de NAT.
Plug-in de verificação de segurança: o plug-in final que esta instância do ScanBox entrega aos alvos verifica se o Kaspersky Internet Security (KIS) está instalado na máquina da vítima. Isso é obtido chamando o método JavaScript Element.getElementsByTagName(). O método verifica qualquer elemento HTML no navegador da vítima para o valor kaspersky-labs.com ou klTabId_kis, que sinaliza se o código foi injetado no navegador do usuário pelo Kaspersky Internet Security .
A infraestrutura
A imagem de domínio do ScanBox C2[.]australianmorningnews[.]com resolveu para três endereços IP:
endereço de IP | Visto pela primeira vez | Visto pela última vez |
198.13.45[.]227 | 06-06-2022 | 08-07-2022 |
139.180.161[.]195 | 26-04-2022 | 05-06-2022 |
45.77.237[.]243 | 25-04-2022 | 25-04-2022 |
australianmorningnews[.]com foi registrado pela primeira vez em 8 de abril de 2022 com as seguintes informações exclusivas de WHOIS, que não foram usadas para registrar nenhum outro domínio:
[email protected] | |
Nome | Florença Gourley |
Cidade | Logandale |
Telefone | 103.104 bytes |
Este domínio começou a ser resolvido em 8 de abril de 2022 para 104.168.140[.]23, um provável servidor dedicado que também hospeda um servidor FTPd, um agente de entrega de correio Dovecot, um servidor de correio Exim e um banco de dados MariaDB.
Correlacionando campanhas ScanBox com campanhas anteriores de injeção de modelo TA423 RTF
A partir de março de 2021, a Proofpoint começou a observar um padrão consistente de direcionamento contra entidades sediadas na Malásia e na Austrália, bem como contra entidades envolvidas nas operações e cadeia de suprimentos de projetos de energia offshore no Mar da China Meridional. De junho de 2021 a maio de 2022, a Proofpoint observou uma campanha de phishing em andamento que envolvia anexos RTF maliciosos armados por meio de injeção de modelo. Além disso, esta campanha fez uso de URLs maliciosos que entregavam arquivos de injeção de modelo RTF. Ambos os vetores de infecção iniciais entregaram malware de download de primeiro estágio aos alvos. Os downloaders recuperaram versões codificadas em XOR do shellcode do Meterpreter.
Ao longo desta campanha, os alvos australianos incluíam regularmente instituições acadêmicas militares, bem como governos locais e federais, defesa e setores de saúde pública. Os alvos da Malásia incluíam perfurações offshore e entidades de exploração de energia em águas profundas, bem como empresas globais de marketing e financeiras. Várias empresas globais também foram visadas e parecem estar relacionadas às cadeias de suprimentos globais de projetos de energia offshore no Mar da China Meridional. Estes incluíram:
- indústria pesada e fabricantes responsáveis pela manutenção de parques eólicos offshore;
- fabricantes de componentes de instalação utilizados em parques eólicos offshore;
- exportadores de energia de locais proeminentes de exploração de energia no Mar da China Meridional;
- grandes firmas de consultoria que fornecem expertise em projetos no Mar da China Meridional; e,
- empresas globais de construção responsáveis pela instalação de projetos de energia offshore no Mar da China Meridional.
A Proofpoint avalia com confiança moderada que as campanhas foram conduzidas pelo agente de ameaças baseado em espionagem TA423, baseado na China, que a PwC rastreia como Red Ladon e que também se sobrepõe a “Leviathan”, “GADOLINIUM” e “APT40”.
Esse ator de ameaças demonstrou um foco consistente em entidades envolvidas com a exploração de energia no Mar da China Meridional, em conjunto com alvos australianos domésticos, incluindo defesa e assistência médica. Tanto os ataques CopyPaste direcionados ao governo australiano em 2021, atribuídos publicamente ao TA423 / Red Ladon, quanto o foco histórico do ator da ameaça no Mar da China Meridional, alinham-se com a vitimologia observada da campanha de longa duração descrita neste blog. Mais distintamente, esse agente de ameaças atacou repetidamente conjuntos de metas governamentais e relacionados à energia da Austrália em uma única campanha ao longo de vários anos.
Por fim, esse agente de ameaça foi observado usando o ScanBox em uma capacidade de watering hole, bem como o Meterpreter em invasões nas áreas geográficas em que esse agente de ameaça observado está operando atualmente.
A evolução técnica das campanhas observadas pode ser dividida em três fases.
Fase 1: março de 2021 – setembro de 2021: a primeira fase desta campanha consistiu em phishing visando usuários na Austrália e na Malásia. Os e-mails entregavam anexos do Zip Archive contendo arquivos de injeção de modelo RTF , bem como, em alguns casos, simplesmente anexos RTF (não contidos em arquivos Zip). Esses arquivos recuperariam outros arquivos Zip ou documentos do Word carregados de macros usando injeção de modelo RTF que serve como um downloader de próximo estágio.
Independentemente da natureza do downloader, a carga útil do estágio seguinte consistiria em um PE legítimo e um estágio de DLL mal-intencionado. Esse stager de DLL é executado usando o sideload de DLL e se comunica com um servidor controlado por um agente de ameaças para recuperar uma resposta codificada com um XOR de byte único. A resposta decodificada é o shellcode Meterpreter que é executado na máquina da vítima.
Da mesma forma que a atividade do ScanBox em abril de 2022 a junho de 2022, vários dos domínios utilizados para fornecer cargas úteis de malware e para se comunicar com servidores C2 de agentes de ameaças tiveram como tema a mídia de notícias australiana. Mais notavelmente, os domínios personificavam “The Australian” e “Herald Sun”. Exemplos de URLs maliciosos originados de anexos de phishing de injeção de modelo RTF desta fase da campanha incluem:
- hxxps://theaustralian[.]in/europa.eeas (URL do modelo RTF recuperando documento de macro)
- hxxps://theaustralian[.]in/office (solicitação iniciada por macro recuperando PE legítimo)
- hxxps://theaustralian[.]in/word (Pedido Iniciado por Macro Recuperando o Carregador/Stager de DLL)
- heraldsun[.]me (Meterpreter C2)
Fase 2: março de 2022: a segunda fase observada desta campanha ocorreu em março de 2022 e consistiu em campanhas de phishing que usaram anexos de injeção de modelo RTF, aproveitando URLs de modelo personalizados para cada destino. Apesar de retornar a mesma carga útil para todas as vítimas, esses URLs eram distintos, cada um incluindo um número de identificação de vítima que se correlacionava com as vítimas pretendidas, permitindo que o agente da ameaça rastreasse infecções ativas com base nos beacons de URL iniciais para o servidor de teste.
A URL de injeção de modelo RTF retornou um documento do Microsoft Word carregado de macros. A macro contém uma série de bytes hexadecimais codificados armazenados como strings. Essas strings são reagrupadas pela macro e convertidas em dois arquivos, um PE e uma DLL, que são salvos no host da vítima e executados. A macro também faz uma solicitação de URL aparentemente para retornar um valor “UpdateConfig” que pode ser usado pela carga útil instalada final. No momento da descoberta, o Proofpoint não conseguiu recuperar a carga útil. No entanto, os analistas da Proofpoint observaram anteriormente os arquivos RTF armados, em última análise, entregando um downloader de DLL que recupera uma resposta de carga útil do Meterpreter codificada em XOR. Notavelmente, o uso recorrente de URLs personalizados que são exclusivos para cada vítima, provavelmente para fins de rastreamento de infecção.
Fase 3: abril de 2022 – junho de 2022: A fase atual desta campanha em andamento consistia em URLs maliciosos com temas de mídia australianos entregues em e-mails de phishing caracterizados acima. Esses URLs utilizaram URLs específicos da vítima em alguns casos e redirecionaram os usuários para um site posando como o de um site com tema de mídia australiano. Embora esta versão do ScanBox tenha sido personalizada para baixar módulos subsequentes, ela não é codificada e se assemelha muito a versões anteriores da base de código padrão do ScanBox.
Um Estudo de Caso em Vitimologia: Segmentação do Campo de Gás Kasawari e Entidades Envolvidas com sua Cadeia de Suprimentos
Em 2 de junho de 2021, vários e-mails foram enviados de um endereço de e-mail do Gmail para várias empresas envolvidas com perfuração em águas profundas, exploração de petróleo e petróleo e defesa naval australiana. Os e-mails usaram os temas “Serviços de passaporte COVID19 na Austrália” para entregar os anexos ZIP e RTF mencionados acima que utilizam injeção de modelo RTF para baixar uma carga útil de stager e downloader de DLL que leva a uma carga útil de Meterpreter.
Esta campanha concentrou-se fortemente na Malásia e especificamente em empresas que parecem estar envolvidas na engenharia, extração de gás natural ou exportação de produtos de gás natural do Projeto de Gás Kasawari na costa da Malásia. Especificamente, quatro das oito entidades visadas por esta campanha estavam diretamente associadas a este projeto. Alvos adicionais observados nesta campanha foram envolvidos em universidades de defesa australianas, saúde do consumidor na Austrália e grandes entidades bancárias financeiras na Malásia. Uma matriz semelhante de segmentação em entidades e organizações domésticas australianas que operam no Mar da China Meridional foi observada posteriormente na campanha ScanBox de maio de 2022, descrita na seção de atividade de phishing da Fase 3 desta publicação.
Em estreita proximidade temporal com as campanhas de espionagem cibernética direcionadas a essas entidades, a Iniciativa de Transparência Marítima da Ásia relatou interrupções no local do projeto decorrentes da Intervenção da Guarda Costeira Chinesa. A Proofpoint avalia com confiança moderada que essa atividade pode ser atribuída ao ator de ameaças TA423 / Red Ladon, que vários relatórios avaliam operar fora da Ilha de Hainan, na China. Uma acusação de 2021 pelo Departamento de Justiça dos EUA avaliou que TA423 / Red Ladon fornece suporte de longa duração ao Ministério de Segurança do Estado da Província de Hainan (MSS). Uma das áreas de responsabilidade mais antigas do TA423 é avaliada para incluir o Mar da China Meridional, com a acusação do Departamento de Justiça dos EUA indicando que o ator da ameaça historicamente se concentrou na propriedade intelectual relacionada à tecnologia naval desenvolvida globalmente por empreiteiros de defesa financiados pelo governo federal. Esta acusação também incluiu explicitamente a menção da existência da Base Naval de Yulin, que foi declarada localizada na Ilha de Hainan.
Embora não seja possível estabelecer uma correlação direta entre a campanha de espionagem cibernética visando entidades envolvidas com o site e partes de sua cadeia de suprimentos nos dias que antecederam diretamente a intervenção naval cinética, o foco histórico de segmentação do TA423 / Red Ladon e a intervenção naval subsequente pode sugerir que este projeto no Mar da China Meridional era muito provavelmente uma área de interesse prioritário para o agente da ameaça.
Um estudo de caso estendido: TA423 tem como alvo a cadeia de suprimentos do parque eólico offshore de Yunlin no Estreito de Taiwan
Nos dias 24, 28 e 29 de março de 2022, a Proofpoint observou atividade de phishing aproveitando a injeção de modelo RTF que visava um fabricante europeu de equipamentos pesados utilizados na instalação de um parque eólico offshore no Estreito de Taiwan. Especificamente, o fabricante visado era um fornecedor chave de equipamentos para entidades envolvidas na construção do Parque Eólico Offshore de Yunlin. Este é um projeto que começou em 2020 e foi projetado para ser concluído em 2022. No entanto, o projeto começou a sofrer atrasos na construção que resultaram em vários grandes empreiteiros rescindindo contratos e deixando o projeto inacabado entre novembro de 2021 e fevereiro de 2022. Este projeto de energia offshore retomada no final de abril de 2022.
As datas da atividade de phishing observada se alinham com o período entre 2 de fevereiro de 2022 e 28 de abril de 2022, onde o futuro do projeto era incerto. A segmentação de entidades da cadeia de suprimentos pelo TA423 durante este período de incerteza do projeto é notável, uma vez que o grupo já havia direcionado projetos no Mar da China Meridional durante momentos-chave em seu cronograma de desenvolvimento.
Conclusão
Este blog examinou várias fases de uma campanha de phishing sustentada, em execução por mais de um ano e atualmente em andamento, que os analistas de inteligência de ameaças da Proofpoint e da PwC atribuem ao agente de ameaças baseado em espionagem TA423 / Red Ladon baseado na China. A campanha tem um alcance internacional, mas um forte foco na região da Ásia-Pacífico, entidades governamentais australianas e empresas e países que operam no Mar da China Meridional. Em particular, a Proofpoint observou o TA423 / Red Ladon visando entidades diretamente envolvidas com projetos de desenvolvimento no Mar da China Meridional na época das tensões entre a China e outros países relacionados a projetos de desenvolvimento de alta importância estratégica, como o campo de gás Kasawari desenvolvido pela Malásia e um parque eólico offshore no Estreito de Taiwan.
Do ponto de vista operacional, além de seu conjunto de ferramentas personalizado e ferramentas de segurança ofensivas, como Meterpreter, TA423 / Red Ladon, também retornou ao ScanBox. A última vez que o TA423 / Red Ladon foi documentado publicamente usando o ScanBox foi em 2018. Embora a atividade do ScanBox tenha sido relatada mais esporadicamente desde sua primeira aparição em 2014 e uso pesado em 2015, continua sendo uma ferramenta disponível e compartilhada entre os chineses. agentes de ameaças baseados para implantar seletivamente em campanhas. Observamos o TA423 / Red Ladon usando o ScanBox, tanto em 2018 quanto em 2022, em campanhas usando uma próxima eleição nacional como isca, em que o ator da ameaça construiu sites maliciosos com temas de notícias locais para atrair alvos para infectá-los.
Após a acusação e divulgação pública do Departamento de Justiça dos EUA em julho de 2021, os analistas da Proofpoint não observaram uma interrupção distinta do ritmo operacional especificamente para campanhas de phishing associadas ao TA423/Red Ladon. Embora a acusação atribua esse ator de ameaça a uma entidade específica que opera com o apoio de uma agência de inteligência estatal chinesa, os detalhes técnicos incluídos não abrangem as táticas atualmente em uso pelo grupo em estado selvagem. Como resultado, o grupo ficou livre para continuar usando novas técnicas de phishing, como RTF Template Injection, que começou no início de 2021 (antes da acusação) e persistiu até março de 2022.
No geral, a Proofpoint e a PwC esperam coletivamente que o TA423 / Red Ladon continue perseguindo sua missão de coleta de inteligência e espionagem visando principalmente países no Mar da China Meridional, bem como outras invasões na Austrália, Europa e Estados Unidos.
Indicadores de Compromisso (IOCs)
Fase 3 IOCs (abril a junho de 2022) | Tipo de COI |
visitable.daishaju@gmail[.]com | Endereço do remetente do e-mail de phishing |
goodlandteactuator@gmail[.]com | Endereço do remetente do e-mail de phishing |
claire3bluntxq@gmail[.]com | Endereço do remetente do e-mail de phishing |
ascents.nestora2@gmail[.]com | Endereço do remetente do e-mail de phishing |
walknermohammad26@gmail[.]com | Endereço do remetente do e-mail de phishing |
entretenimentoemiliano20@gmail[.]com | Endereço do remetente do e-mail de phishing |
entretenimentoemiliano20@gmail[.]com | Endereço do remetente do e-mail de phishing |
osinskigeovannyxw@gmail[.]com | Endereço do remetente do e-mail de phishing |
britanisoq@outlook[.]com | Endereço do remetente do e-mail de phishing |
charmainejuxtzk@outlook[.]com | Endereço do remetente do e-mail de phishing |
gradyt18iheme@outlook[.]com | Endereço do remetente do e-mail de phishing |
dagny382cber@outlook[.]com | Endereço do remetente do e-mail de phishing |
marikok2bedax@outlook[.]com | Endereço do remetente do e-mail de phishing |
pearlykeap3l@outlook[.]com | Endereço do remetente do e-mail de phishing |
mattbotossd@outlook[.]com | Endereço do remetente do e-mail de phishing |
thuang6102@gmail[.]com | Endereço do remetente do e-mail de phishing |
earlt1948@gmail[.]com | Endereço do remetente do e-mail de phishing |
amiaggitaphill@yahoo[.]com | Endereço do remetente do e-mail de phishing |
zoezlb@gmail[.]com | Endereço do remetente do e-mail de phishing |
Daisha Manalo <visitable.daishaju@gmail[.]com> | Cabeçalho de e-mail de phishing de |
Blair Goodland <goodlandteactuator@gmail[.]com> | Cabeçalho de e-mail de phishing de |
Claire Blunt <claire3bluntxq@gmail[.]com> | Cabeçalho de e-mail de phishing de |
Nestor Pyles <ascents.nestora2@gmail[.]com> | Cabeçalho de e-mail de phishing de |
Mohammad Walkner <walknermohammad26@gmail[.]com> | Cabeçalho de e-mail de phishing de |
Emiliano Regulus <entertainingemiliano20@gmail[.]com> | Cabeçalho de e-mail de phishing de |
Emiliano Regulus <entertainingemiliano20@gmail[.]com> | Cabeçalho de e-mail de phishing de |
Geovanny Osinski <osinskigeovannyxw@gmail[.]com> | Cabeçalho de e-mail de phishing de |
Brittani Silvestre <brittanisoq@outlook[.]com> | Cabeçalho de e-mail de phishing de |
Charmaine Jubinville <charmainejuxtzk@outlook[.]com> | Cabeçalho de e-mail de phishing de |
Grady Iheme <gradyt18iheme@outlook[.]com> | Cabeçalho de e-mail de phishing de |
Dagny Berdecia <dagny382cber@outlook[.]com> | Cabeçalho de e-mail de phishing de |
Mariko Dax <marikok2bedax@outlook[.]com> | Cabeçalho de e-mail de phishing de |
Pearly Keasler <pearlykeap3l@outlook[.]com> | Cabeçalho de e-mail de phishing de |
Matt Botos <mattbotossd@outlook[.]com> | Cabeçalho de e-mail de phishing de |
ami phillips <amianggitaphill@yahoo[.]com> | Cabeçalho de e-mail de phishing de |
Tom Huang <thuang6102@gmail[.]com> | Cabeçalho de e-mail de phishing de |
Thomas Earl <earlt1948@gmail[.]com> | Cabeçalho de e-mail de phishing de |
zoe browne <zoezlb@gmail[.]com> | Cabeçalho de e-mail de phishing de |
hxxp://australianmorningnews[.]com/?p=23 | URL de phishing |
hxxp://australianmorningnews[.]com/?p=30 | URL de phishing |
hxxp://australianmorningnews[.]com/?p=58 | URL de phishing |
hxxp://australianmorningnews[.]com/?p=55 | URL de phishing |
hxxp://australianmorningnews[.]com/?p=30 | URL de phishing |
hxxp://australianmorningnews[.]com/?p=23-<UserID> | URL de phishing |
hxxp://asutralianmorningnews[.]com/?p=19-<UserID> (Ator Typo) | URL de phishing |
hxxp://australianmorningnews[.]com/?p=23-<UserID> | URL de phishing |
australianmorningnews[.]com | Domínio controlado por ator |
image[.]australianmorningnews[.]com | Domínio controlado por ator |
regional[.]xyz | Domínio controlado por ator |
heraldsun[.]me | Domínio controlado por ator |
walmartsde[.]com | Domínio controlado por ator |
theaustralian[.]in | Domínio controlado por ator |
suzannehhu316[@]outlook[.]com
|
E-mail do registrante |
cwhe18nc | Nome do arquivo do módulo principal do ScanBox |
7795936ed1bdb7a5756c1ff821b2dc8739966abbb00e3e0ae114ee728bf1cf1a | Amostra de caixa de digitalização SHA-256 |
4dedb022d3c43db6cddd87f250db4758bd88c967f98302d97879d9fc4fadd8a2 | Amostra de caixa de digitalização SHA-256 |
5a1c689cddb036ca589f6f2e53d323109b94ce062a09fb5b7c5a2efedd7306bc | Amostra de caixa de digitalização SHA-256 |
cb981d04f21a97fdb46b101a882a3490e245760489f4122deb4a0ac951a8eaee | Amostra de caixa de digitalização SHA-256 |
3d37a977f36e8448b087f8e114fe2a1db175372d4b84902887808a6fb0c8028f | Amostra de caixa de digitalização SHA-256 |
e8a919e0e02fecfe538a8698250ac3eaba969e2af2cc9d96fc86675a658e201e | Amostra de caixa de digitalização SHA-256 |
0b9447cb00ae657365eb2b771f4f2c505e44ca96a0a062d54f3b8544215fc082 | Amostra de caixa de digitalização SHA-256 |
2f204f3b3abc97efc74b6fa016a874f9d4addb8ac70857267cc8e4feb9dbba26 | Amostra de caixa de digitalização SHA-256 |
2a17927834995441c18d1b1b7ec9594eedfccaacca11e52401f83a82a982760e | Amostra de caixa de digitalização SHA-256 |
18db4296309da48665121899c62ed8fb10f4f8d22e44fd70d2f9ac8902896db1 | Amostra de caixa de digitalização SHA-256 |
hxxp://image[.]australianmorningnews[.]com/i/ | URL da caixa de digitalização |
hxxp://image[.]australianmorningnews[.]com/i/?cwhe18nc | URL da caixa de digitalização |
hxxp://image[.]australianmorningnews[.]com/i/v.php?m=b | URL da caixa de digitalização |
hxxp://image[.]australianmorningnews[.]com/i/c.php?data= | URL da caixa de digitalização |
hxxp://image[.]australianmorningnews[.]com/i/k.php?data= | URL da caixa de digitalização |
hxxp://image[.]australianmorningnews[.]com/i/p.php?data= | URL da caixa de digitalização |
hxxp://image[.]australianmorningnews[.]com/i/v.php?m=a&data= | URL da caixa de digitalização |
hxxp://image[.]australianmorningnews[.]com/i/v.php?m=p&data= | URL da caixa de digitalização |
hxxp://image[.]australianmorningnews[.]com/i/v.php?m=plug | URL da caixa de digitalização |
ares_ambassador ausente 25 set até 25 outubro 2021.doc.rtf | F55c020d55d64d9188c916dcbece901bc6eb373ed572d349ff61758bd212857f | Nome do arquivo de anexo de injeção de modelo RTF | SHA-256 |
0325.rtf | 5681cf40c3f00c1a0dc89c05d983c0133cc6bf198bce59afef788d25bcd9f69 | Nome do arquivo de anexo de injeção de modelo RTF | SHA-256 |
0325.rtf | 22df809c1f47cb8d685f9055ad478991387016f03efd302fdde225215494eb83 | Nome do arquivo de anexo de injeção de modelo RTF | SHA-256 |
20220324.rtf | b7e435ccded277740d643309898d344268010808e0582f34ae07e879ac32cf1e | Nome do arquivo de anexo de injeção de modelo RTF | SHA-256 |
reunião remota online invitation.rtf | 3909ae9b64b281cca55fc2cd6d92a11b882d1a58e4c34a59a997a7cb65aba8ef | Nome do arquivo de anexo de injeção de modelo RTF | SHA-256 |
reunião remota online invitation.rtf | 54ad4c1853179a59d5e9c48b1cfa880c91c5bf390fcfb94e700259b3f8998cb3 | Nome do arquivo de anexo de injeção de modelo RTF | SHA-256 |
reunião remota online invitation.rtf | c4471540b811f091124c166ab51d6d03b6757f71e29c61a0e360e5c64957fcdd | Nome do arquivo de anexo de injeção de modelo RTF | SHA-256 |
reunião remota online invitation.rtf | 400be1d28d966ba8491f54237adad52ad4eea8a051f45f49774b92cbfdfcf1ea | Nome do arquivo de anexo de injeção de modelo RTF | SHA-256 |
reunião remota online invitation.rtf | 8033a52b327ad6635fc75f6c2c17b2cb4d56e1fd00081935541c0fb020e2582f | Nome do arquivo de anexo de injeção de modelo RTF | SHA-256 |
reunião remota online invitation.rtf | a115051a02e4faa8eb06d3870af44560274847c099d8e2feb2ef8db8885edf5e | Nome do arquivo de anexo de injeção de modelo RTF | SHA-256 |
reunião remota online invitation.rtf | 57c8123dd505dadb640872f83cf0475871993e99fdb40d8b821a9120e3479f53 | Nome do arquivo de anexo de injeção de modelo RTF | SHA-256 |
139.59.60[.]116:443 IP | C2 IP |
172.105.114[.]27:80 IP | C2 IP |
Fase 1 e 2 COIs | Tipo de COI |
hxxps://regionail[.]xyz/ | Injeção de modelo RTF e URL de entrega de carga útil |
hxxps://regionail[.]xyz/austrade.au | Injeção de modelo RTF e URL de entrega de carga útil |
hxxps://magloball[.]com/nDo3SB | Injeção de modelo RTF e URL de entrega de carga útil |
hxxps://theaustralian[.]in/europa.eeas | Injeção de modelo RTF e URL de entrega de carga útil |
hxxps://theaustralian[.]in/office | Injeção de modelo RTF e URL de entrega de carga útil |
hxxps://theaustralian[.]in/word | Injeção de modelo RTF e URL de entrega de carga útil |
hxxp://172.105.114[.]27/v<identificador da vítima> | Injeção de modelo RTF e URL de entrega de carga útil |
hxxp://walmartsde[.]com/UpdateConfig | Injeção de modelo RTF e URL de entrega de carga útil |
austrade[1].zip | 981c762ce305cd5221e8757bafa50a00fff8fbc92db5612b311c458d48c29793 | Nome do arquivo de carga útil | SHA-256 |
GoogleDesktop.exe |6d2b301e77839fff1c74425b37d02c3f3837ce50e856c21ae4cf7ababb04addc | Nome do arquivo de carga útil | SHA-256
PE legítimo usado em DLL Sideloading |
regionail[.]xyz[.]url | 13f593f217b4686d736bcfce3917964632e824cb0d054248b9ffcacc59b470d4 | Nome do arquivo de carga útil | SHA-256 |
GoogleServices.dll | c4f6fedb636f07e1e53eaef9f18334122cb9da4193c843b4d31311347290a78f | Nome do arquivo de carga útil | SHA-256 |
passaporte form.zip | ab963bf7b1567190b8e5f48e7c88d53c02d7a3a57bd2294719595573a1f2b7c7 | Nome do arquivo de carga útil | SHA-256 |
formulário de passaporte.doc.rtf | e3f1519db0039e7423f49d92d43d549b152b534856a7efde1a7eda7a9276bb22 | Nome do arquivo de carga útil | SHA-256 |
v9 | e1f34cb031bac517796c363c2b31366509bf1367599fd5583c6bc2b0314758bb | Nome do arquivo de carga útil | SHA-256 |
MicrosoftEdgeSvc.exe | d357502511352995e9523c746131f8ed38457c38a77381c03dda1a1968abce42 | Nome do arquivo de carga útil | SHA-256
PE legítimo usado em DLL Sideloading |
msedgeupdate.dll | 55a5871b36109a38eed8aef943ccddf1ae9945f27f21b1c62210a810bb0f7196 | Nome do arquivo de carga útil | SHA-256 |
DesProc.exe | 98fbd5eb6ae126fda8e36e3602e6793c1f719ef3fdbf792689035104b39f14ac | Nome do arquivo de carga útil | SHA-256
PE legítimo usado em DLL Sideloading |
Microsoft.VisualStudio.CodeMarkers.Dll | 7e1ab1b08eb4b69df11955c3dfe3050be467a374adb704a917ee1a69abcc58a | Nome do arquivo de carga útil | SHA-256 |
Fonte: proofpoint
Descubra mais sobre DCiber
Assine para receber os posts mais recentes por e-mail.