Rising Tide: Perseguindo as Correntes de Espionagem no Mar da China Meridional

A equipe de pesquisa de ameaças da Proofpoint detalha uma recente campanha de espionagem cibernética direcionada a entidades globalmente e conduzida por um agente de ameaças publicamente que foi atribuída em 2021 por vários governos e foi o foco de uma acusação de 2021 pelo Departamento de Justiça dos EUA. Os alvos desta campanha recente abrangeram Austrália, Malásia e Europa, bem como entidades que operam no Mar da China Meridional. A pesquisa da Proofpoint foi auxiliada pela equipe da PwC Threat Intelligence para fornecer à comunidade de segurança da informação uma visão abrangente da atividade de ameaça descrita.

 

Introdução 

A Proofpoint e a PwC Threat Intelligence identificaram conjuntamente uma campanha de espionagem cibernética, ativa desde abril de 2022 até junho, entregando a estrutura de exploração ScanBox para alvos que visitam um domínio malicioso que se apresenta como um site de notícias australiano. Os esforços conjuntos dos pesquisadores da Proofpoint e da PwC fornecem uma avaliação moderada de confiança de que campanhas recentes direcionadas ao governo federal, energia e setores de manufatura globalmente podem representar esforços recentes da TA423 / Red Ladon. A atividade que se sobrepõe a esse ator de ameaça foi publicamente referida em acusações governamentais como “APT40” e “Leviathan”. Este blog analisa a estrutura e os recursos da amostra do ScanBox e dos plugins identificados nesta campanha.

Os detalhes do blog:

• Campanhas recentes de phishing direcionadas que usam URLs representando entidades de mídia australianas para fornecer a estrutura de reconhecimento ScanBox;
• Como esse script ScanBox personalizado e módulos relacionados funcionam;
• Como essa campanha se correlaciona com a atividade de ameaças desde junho de 2021, que aproveitou a injeção de modelo RTF;
• A história do framework ScanBox; e,
• O foco de direcionamento do TA423/Red Ladon em organizações domésticas australianas, bem como entidades envolvidas com exploração de energia offshore no Mar da China Meridional.

TA423 / Red Ladon: TA423 / Red Ladon é um agente de ameaças baseado na China e motivado por espionagem que está ativo desde 2013, visando uma variedade de organizações em resposta a eventos políticos na região da Ásia-Pacífico, com foco no Sul Mar da China. As organizações visadas incluem empreiteiros de defesa, fabricantes, universidades, agências governamentais, escritórios de advocacia envolvidos em disputas diplomáticas e empresas estrangeiras envolvidas com a política da Australásia ou operações no Mar da China Meridional.

TA423 / Red Ladon tem como alvo o governo australiano e as frotas de turbinas eólicas no Mar da China Meridional  

A partir de 12 de abril de 2022 e continuando até meados de junho de 2022, a Proofpoint identificou várias ondas de uma campanha de phishing que resultou na execução da estrutura de reconhecimento do ScanBox, em parte com base na inteligência compartilhada pela PwC Threat Intelligence relacionada à atividade do ScanBox em andamento. A campanha de phishing envolvia URLs entregues em e-mails de phishing, que redirecionavam as vítimas para um site malicioso que se apresentava como um meio de comunicação australiano. A página de destino do site forneceu uma carga útil de malware do JavaScript ScanBox para alvos selecionados. Em  casos históricos, o ScanBox foi entregue a partir de sites que foram vítimas de ataques de comprometimento estratégico da Web (SWC) com sites legítimos sendo injetados com código JavaScript malicioso. Nesse caso, o agente da ameaça controla o site malicioso e entrega o código malicioso a usuários desavisados.

Um ScanBox Primer: ScanBox, detalhado em código aberto já em 2014 pela  AlienVault , é uma estrutura de reconhecimento e exploração da Web baseada em JavaScript que permite aos agentes de ameaças traçar o perfil das vítimas e entregar mais malware a alvos de interesse selecionados. A PwC Threat Intelligence  avalia  que é altamente provável que o ScanBox seja compartilhado de forma privada entre vários agentes de ameaças baseados na China.

Os seguintes agentes de ameaças baseados na China foram observados usando o ScanBox:

• Red Sylvan (também conhecido como APT3, Panda Gótico);
• Red Apollo  (também conhecido como APT10, Stone Panda);
• Red Phoenix  (também conhecido como APT27, Emissário Panda);
• TA423 /  Red Ladon  (também conhecido como APT40, Leviathan, GADOLINIUM);
• Red Dev 16 (aka Evil Eye, Earth Empusa,  Poison Carp ); e,
• TA413 /  White Dev 9  (também conhecido como LuckyCat).

TA423 / A atividade do ScanBox de 2018 da Red Ladon visando o Camboja envolveu domínios disfarçados de sites de notícias e entidades governamentais de alto perfil, incluindo a Comissão Nacional de Eleições. Um dos domínios de servidor ScanBox usados ​​nessa campanha, mlcdailynews[.]com, hospedou vários artigos sobre assuntos cambojanos e relações entre EUA e Ásia Oriental, cujos conteúdos foram copiados de publicações legítimas (Khmer Post, Asia Times, Reuters, Associated Press) . Eles  provavelmente foram  usados ​​como iscas em e-mails de phishing para convencer os alvos a seguir links maliciosos para o domínio ScanBox controlado pelo ator.

A Campanha ScanBox 2022  

A campanha ScanBox de abril de 2022 a junho de 2022 teve como alvo principal:

• agências governamentais australianas locais e federais;
• empresas de mídia de notícias australianas; e,
• fabricantes globais da indústria pesada que realizam manutenção de frotas de turbinas eólicas no Mar da China Meridional.

Isso demonstrou a aproximação de alvos envolvidos nos assuntos governamentais australianos, bem como na produção de energia offshore no Mar da China Meridional. A Proofpoint observou anteriormente uma segmentação semelhante em junho de 2021 pelo TA423 / Red Ladon, em que o agente da ameaça entregaria um downloader no formato DLL por meio de injeção de modelo RTF. A campanha mostrou uma consistência de vitimologia abrangendo treze meses e unindo diversas táticas, técnicas e procedimentos de phishing (TTPs).

As campanhas de phishing relacionadas ao ScanBox identificadas de abril a junho de 2022 originaram-se de endereços de e-mail do Gmail e Outlook que a Proofpoint avalia com confiança moderada foram criados pelo agente da ameaça e utilizaram uma variedade de assuntos, incluindo “licença médica”, “pesquisa de usuário” e “Solicitar Cooperação.” O agente da ameaça frequentemente se apresentava como um funcionário da publicação de mídia fictícia “Australian Morning News”, fornecendo uma URL para o domínio malicioso e solicitando alvos para visualizar seu site ou compartilhar conteúdo de pesquisa que o site publicaria.

Em e-mails, o agente da ameaça alegou estar iniciando um “humilde site de notícias” (sic) e solicitou feedback do usuário ao fornecer um link para australianmorningnews[.]com. Embora isso não represente uma publicação de mídia australiana existente, ele copia o conteúdo de publicações de notícias legítimas (incluindo a BBC e a Sky News) que foram exibidas quando as vítimas navegaram para o site.

Ao clicar no link e redirecionar para o site, os visitantes foram atendidos pelo framework ScanBox. A representação de uma publicação de mídia fictícia local para alvos de interesse é uma tática que a Proofpoint e a PwC Threat Intelligence haviam observado anteriormente sendo usada em campanhas históricas TA423 / Red Ladon ScanBox identificadas antes das eleições cambojanas em  2018. O conteúdo dos e-mails e a técnica de URL maliciosa repetiram uma técnica observada anteriormente nas campanhas TA423/Red Ladon de setembro de 2021, detalhadas mais adiante neste blog, nas quais o agente da ameaça personificava publicações de mídia australianas com sua infraestrutura de entrega de malware.

Uma semelhança interessante com a atividade anterior pode ser observada em várias das campanhas identificadas de abril a maio de 2022. Os URLs maliciosos fornecidos nos e-mails também parecem usar valores personalizados para cada destino, embora todos redirecionem para a mesma página e veiculem a mesma carga maliciosa. Em uma instância, o agente da ameaça foi observado anexando a extensão URI “?p=23-<##>”. Parece que p=23 especifica o valor da página para a página de destino para a qual o usuário é redirecionado, enquanto a sequência numérica que a segue, por exemplo, “11” em “?p=23-11”, parece ser um identificador exclusivo para cada destinatário. A Proofpoint também observou URLs personalizados e destinos de redirecionamento de URL distintos para cada destino, nas campanhas anteriores do TA423 em março de 2022. Isso pode ser uma tentativa do agente da ameaça de correlacionar o tráfego com seus servidores.

• hxxp://australianmorningnews[.]com/?p=23-7
• hxxp://australianmorningnews[.]com/?p=23-11
• hxxp://australianmorningnews[.]com/?p=23-24
• hxxp://australianmorningnews[.]com/?p=23-27

Malware  

O ScanBox pode fornecer código JavaScript em um único bloco ou, como é o caso da campanha de abril de 2022, como uma arquitetura modular baseada em plug-ins. Embora a entrega de todo o código de uma só vez permita aos agentes de ameaças funcionalidade total em um sistema de vítimas, os analistas de inteligência de ameaças da PwC avaliam que a principal motivação para carregar plug-ins seletivamente é provavelmente uma maneira de evitar falhas ou erros que possam alertar os proprietários de sites comprometidos. A PwC avalia que outra provável motivação para adotar uma arquitetura modular foi reduzir a visibilidade e o acesso dos pesquisadores aos plugins e ao conjunto de ferramentas do agente da ameaça.

As campanhas de maio a junho de 2022 entregaram o mesmo arquivo JavaScript com conteúdo semelhante ao que a PwC encontrou originalmente em amostras do ScanBox já em 2014:

SHA-256	7795936ed1bdb7a5756c1ff821b2dc8739966abbb00e3e0ae114ee728bf1cf1a
Nome do arquivo	cwhe18nc
Tipo de arquivo	JavaScript
Tamanho do arquivo	24.768 bytes
.info.seed	0c62cf7354f80d5519b71656540567a1

 

O arquivo malicioso executado nos navegadores da vítima foi originalmente hospedado na URL: hxxp://image[.]australianmorningnews[.]com/i/?cwhe18nc

Script principal e características gerais: A arquitetura modular do ScanBox funciona executando uma carga útil JavaScript principal e, em seguida, carregando módulos adicionais para criar o perfil da vítima. No final do código de seu módulo principal, o ScanBox configura sua configuração, que inclui o servidor C2 para contato (hxxp://image.australianmorningnews[.]com/i/ seguido por URLs específicos conforme descrito posteriormente neste blog ) e as informações a serem coletadas dos sistemas das vítimas, conforme visto na Figura 4 abaixo.

O script inicial coleta vários tipos de informações dos visitantes e serve como uma configuração para os estágios seguintes de coleta de informações e potencial exploração ou comprometimento subsequente. A partir da análise da PwC, os recursos do JavaScript ScanBox inicial executado nos navegadores da vítima incluem:

• Obtendo a hora atual;
• Obtendo o idioma do navegador da vítima;
• Instalar a versão principal e secundária do Adobe Flash no navegador da vítima, se houver;
• Verificar se o navegador da vítima é Safari ou Internet Explorer;
• Verificando se o C2 está ativo e respondendo;
• Envio de informações sobre o navegador da vítima de volta ao C2, incluindo:
  • Versão do Flash instalada
  • Localização (que é a URL que está sendo visitada);
  • O URI do qual a vítima foi redirecionada;
  • Título da página da web que está sendo visitada;
  • Domínio sendo visitado;
  • Referenciador;
  • Agente de usuário;
  • Bolacha;
  • Codificação de caracteres;
  • Largura e altura da tela;
  • Sistema Operacional Subjacente;
  • Linguagem;
  • Profundidade de cor da tela;
• Carregando outros plugins do ScanBox e analisando suas respostas de volta ao JSON para enviar para o C2.

A arquitetura modular do ScanBox funciona enviando dados para diferentes scripts PHP responsivos hospedados em uma mesma pasta do lado do servidor, que em muitos casos nos últimos anos foi chamada de /i/, e que neste caso é hxxp://image[ .]australianmorningnews[.]com/i/. Os scripts executam diferentes funções, como segue:

 

Os nomes dos scripts de uma letra combinam muito bem com sua funcionalidade, pois p.php se refere à execução de um plug-in do ScanBox, k.php está relacionado aos dados do keylogger, enquanto o v.php lida com as informações da vítima coletadas pelos scripts do ScanBox.

Versões modernas do ScanBox têm nomes de função prefixados por um conjunto aparentemente aleatório de 32 caracteres alfanuméricos (que podem representar um hash MD5), que também são referidos nos scripts do ScanBox como o parâmetro .info.seed. Identificamos outras amostras do script principal do ScanBox que incorporam diferentes parâmetros .info.seed dentro do script na URL:

hxxp://image[.]australianmorningnews[.]com/i/?cwhe18nc:

 

Cadeia de infecção e fluxo de controle do ScanBox  

Plugin Keylogger: O plugin keylogger grava qualquer tecla pressionada pela vítima dentro do iframe criado pelo código ScanBox e envia os dados de volta para o C2. A PwC descreveu um módulo extremamente semelhante em um relatório de 2017 no ScanBox, com o código permanecendo praticamente o mesmo desde que os primeiros plugins de keylogger do ScanBox foram observados em 2014.

Plugins do navegador da vítima Identificação: Este plugin reúne o nome, nome do arquivo e descrição de qualquer plugin de navegador legítimo instalado no navegador da vítima, enviando o resultado de volta para o C2 como uma lista.

Plug-in de impressão digital do navegador: este plug-in reúne mais informações sobre o navegador da vítima, provavelmente para que o agente da ameaça entenda a superfície de ataque disponível e quais recursos podem ser necessários para exploração subsequente. Verifica, entre outros detalhes:

• Se o Java está instalado e, em caso afirmativo, qual versão;
• A versão do ActiveX instalada;
• Se aplicativos da Web Java específicos estão instalados;
• Se o navegador da vítima é Internet Explorer, iPhone, Firefox, Chrome, Safari, “Outro” da família Netscape, Opera ou “desconhecido”; e,
• Se a Microsoft Java Virtual Machine (MSJVM) está instalada no navegador da vítima.

Plug-in de conexão de pares: a PwC documentou anteriormente esse módulo em um relatório de 2017 (‘A ScanBox darkly’, PwC Cyber ​​Threat Intelligence, CTO-TIB-20170713-01A). O módulo implementa WebRTC, uma tecnologia gratuita e de código aberto suportada em todos os principais navegadores, que permite que navegadores da Web e aplicativos móveis realizem comunicação em tempo real (RTC) sobre interfaces de programação de aplicativos (APIs). Isso permite que o ScanBox se conecte a um conjunto de destinos pré-configurados. Nesta amostra, os destinos são servidores STUN na seguinte URL:

stun:stun.l.google[.]com:19302, em um endereço legítimo do Google.

STUN  (Session Traversal Utilities for NAT) é um conjunto padronizado de métodos, incluindo um protocolo de rede, que permite comunicações interativas (incluindo aplicativos de voz, vídeo e mensagens em tempo real) para atravessar gateways do conversor de endereços de rede (NAT). STUN é suportado pelo protocolo WebRTC. Por meio de um servidor STUN de terceiros localizado na Internet, ele permite que os hosts descubram a presença de um NAT e descubram o endereço IP mapeado e o número da porta que o NAT alocou para os fluxos do User Datagram Protocol (UDP) do aplicativo para remoto anfitriões. O ScanBox implementa a travessia de NAT usando servidores STUN como parte do  Estabelecimento de Conectividade Interativa (ICE), um método de comunicação ponto a ponto usado para que os clientes se comuniquem o mais diretamente possível, evitando ter que se comunicar por meio de NATs, firewalls ou outras soluções.

Isso significa que o módulo ScanBox pode configurar comunicações ICE para servidores STUN e se comunicar com máquinas vítimas mesmo que estejam atrás de NAT.

Plug-in de verificação de segurança: o plug-in final que esta instância do ScanBox entrega aos alvos verifica se o Kaspersky Internet Security (KIS) está instalado na máquina da vítima. Isso é obtido chamando o método JavaScript Element.getElementsByTagName(). O método verifica qualquer elemento HTML no navegador da vítima para o valor kaspersky-labs.com ou klTabId_kis, que sinaliza se o código foi injetado no navegador do usuário pelo  Kaspersky Internet Security .

A infraestrutura

A imagem de domínio do ScanBox C2[.]australianmorningnews[.]com resolveu para três endereços IP:

australianmorningnews[.]com foi registrado pela primeira vez em 8 de abril de 2022 com as seguintes informações exclusivas de WHOIS, que não foram usadas para registrar nenhum outro domínio:

 

Este domínio começou a ser resolvido em 8 de abril de 2022 para 104.168.140[.]23, um provável servidor dedicado que também hospeda um servidor FTPd, um agente de entrega de correio Dovecot, um servidor de correio Exim e um banco de dados MariaDB.

Correlacionando campanhas ScanBox com campanhas anteriores de injeção de modelo TA423 RTF  

A partir de março de 2021, a Proofpoint começou a observar um padrão consistente de direcionamento contra entidades sediadas na Malásia e na Austrália, bem como contra entidades envolvidas nas operações e cadeia de suprimentos de projetos de energia offshore no Mar da China Meridional. De junho de 2021 a maio de 2022, a Proofpoint observou uma campanha de phishing em andamento que envolvia anexos RTF maliciosos armados por meio de injeção de modelo. Além disso, esta campanha fez uso de URLs maliciosos que entregavam arquivos de injeção de modelo RTF. Ambos os vetores de infecção iniciais entregaram malware de download de primeiro estágio aos alvos. Os downloaders recuperaram versões codificadas em XOR do shellcode do Meterpreter.

Ao longo desta campanha, os alvos australianos incluíam regularmente instituições acadêmicas militares, bem como governos locais e federais, defesa e setores de saúde pública. Os alvos da Malásia incluíam perfurações offshore e entidades de exploração de energia em águas profundas, bem como empresas globais de marketing e financeiras. Várias empresas globais também foram visadas e parecem estar relacionadas às cadeias de suprimentos globais de projetos de energia offshore no Mar da China Meridional. Estes incluíram:

• indústria pesada e fabricantes responsáveis ​​pela manutenção de parques eólicos offshore;
• fabricantes de componentes de instalação utilizados em parques eólicos offshore;
• exportadores de energia de locais proeminentes de exploração de energia no Mar da China Meridional;
• grandes firmas de consultoria que fornecem expertise em projetos no Mar da China Meridional; e,
• empresas globais de construção responsáveis ​​pela instalação de projetos de energia offshore no Mar da China Meridional.

A Proofpoint avalia com confiança moderada que as campanhas foram conduzidas pelo agente de ameaças baseado em espionagem TA423, baseado na China, que a PwC rastreia como Red Ladon e que também se sobrepõe a “Leviathan”, “GADOLINIUM” e “APT40”.

Esse ator de ameaças demonstrou um foco consistente em entidades envolvidas com a exploração de energia no Mar da China Meridional, em conjunto com alvos australianos domésticos, incluindo defesa e assistência médica. Tanto os ataques CopyPaste direcionados ao governo australiano em  2021, atribuídos publicamente ao TA423 / Red Ladon, quanto o foco histórico do ator da ameaça no Mar da China Meridional, alinham-se com a vitimologia observada da campanha de longa duração descrita neste blog. Mais distintamente, esse agente de ameaças atacou repetidamente conjuntos de metas governamentais e relacionados à energia da Austrália em uma única campanha ao longo de vários anos.

Por fim, esse agente de ameaça foi observado usando o ScanBox em uma capacidade de watering hole, bem como o Meterpreter em invasões nas áreas geográficas em que esse agente de ameaça observado está operando atualmente.

A evolução técnica das campanhas observadas pode ser dividida em três fases.

Fase 1: março de 2021 – setembro de 2021: a primeira fase desta campanha consistiu em phishing visando usuários na Austrália e na Malásia. Os e-mails entregavam anexos do Zip Archive contendo  arquivos de injeção de modelo RTF , bem como, em alguns casos, simplesmente anexos RTF (não contidos em arquivos Zip). Esses arquivos recuperariam outros arquivos Zip ou documentos do Word carregados de macros usando injeção de modelo RTF que serve como um downloader de próximo estágio.

Independentemente da natureza do downloader, a carga útil do estágio seguinte consistiria em um PE legítimo e um estágio de DLL mal-intencionado. Esse stager de DLL é executado usando o sideload de DLL e se comunica com um servidor controlado por um agente de ameaças para recuperar uma resposta codificada com um XOR de byte único. A resposta decodificada é o shellcode Meterpreter que é executado na máquina da vítima.

Da mesma forma que a atividade do ScanBox em abril de 2022 a junho de 2022, vários dos domínios utilizados para fornecer cargas úteis de malware e para se comunicar com servidores C2 de agentes de ameaças tiveram como tema a mídia de notícias australiana. Mais notavelmente, os domínios personificavam “The Australian” e “Herald Sun”. Exemplos de URLs maliciosos originados de anexos de phishing de injeção de modelo RTF desta fase da campanha incluem:

• hxxps://theaustralian[.]in/europa.eeas (URL do modelo RTF recuperando documento de macro)
• hxxps://theaustralian[.]in/office (solicitação iniciada por macro recuperando PE legítimo)
• hxxps://theaustralian[.]in/word (Pedido Iniciado por Macro Recuperando o Carregador/Stager de DLL)
• heraldsun[.]me (Meterpreter C2)

Fase 2: março de 2022: a segunda fase observada desta campanha ocorreu em março de 2022 e consistiu em campanhas de phishing que usaram anexos de injeção de modelo RTF, aproveitando URLs de modelo personalizados para cada destino. Apesar de retornar a mesma carga útil para todas as vítimas, esses URLs eram distintos, cada um incluindo um número de identificação de vítima que se correlacionava com as vítimas pretendidas, permitindo que o agente da ameaça rastreasse infecções ativas com base nos beacons de URL iniciais para o servidor de teste.

A URL de injeção de modelo RTF retornou um documento do Microsoft Word carregado de macros. A macro contém uma série de bytes hexadecimais codificados armazenados como strings. Essas strings são reagrupadas pela macro e convertidas em dois arquivos, um PE e uma DLL, que são salvos no host da vítima e executados. A macro também faz uma solicitação de URL aparentemente para retornar um valor “UpdateConfig” que pode ser usado pela carga útil instalada final. No momento da descoberta, o Proofpoint não conseguiu recuperar a carga útil. No entanto, os analistas da Proofpoint observaram anteriormente os arquivos RTF armados, em última análise, entregando um downloader de DLL que recupera uma resposta de carga útil do Meterpreter codificada em XOR. Notavelmente, o uso recorrente de URLs personalizados que são exclusivos para cada vítima, provavelmente para fins de rastreamento de infecção.

Fase 3: abril de 2022 – junho de 2022: A fase atual desta campanha em andamento consistia em URLs maliciosos com temas de mídia australianos entregues em e-mails de phishing caracterizados acima. Esses URLs utilizaram URLs específicos da vítima em alguns casos e redirecionaram os usuários para um site posando como o de um site com tema de mídia australiano. Embora esta versão do ScanBox tenha sido personalizada para baixar módulos subsequentes, ela não é codificada e se assemelha muito a versões anteriores da base de código padrão do ScanBox.

Um Estudo de Caso em Vitimologia: Segmentação do Campo de Gás Kasawari e Entidades Envolvidas com sua Cadeia de Suprimentos  

Em 2 de junho de 2021, vários e-mails foram enviados de um endereço de e-mail do Gmail para várias empresas envolvidas com perfuração em águas profundas, exploração de petróleo e petróleo e defesa naval australiana. Os e-mails usaram os temas “Serviços de passaporte COVID19 na Austrália” para entregar os anexos ZIP e RTF mencionados acima que utilizam injeção de modelo RTF para baixar uma carga útil de stager e downloader de DLL que leva a uma carga útil de Meterpreter.

Esta campanha concentrou-se fortemente na Malásia e especificamente em empresas que parecem estar envolvidas na engenharia, extração de gás natural ou exportação de produtos de gás natural do Projeto de Gás Kasawari na costa da Malásia. Especificamente, quatro das oito entidades visadas por esta campanha estavam diretamente associadas a este projeto. Alvos adicionais observados nesta campanha foram envolvidos em universidades de defesa australianas, saúde do consumidor na Austrália e grandes entidades bancárias financeiras na Malásia. Uma matriz semelhante de segmentação em entidades e organizações domésticas australianas que operam no Mar da China Meridional foi observada posteriormente na campanha ScanBox de maio de 2022, descrita na seção de atividade de phishing da Fase 3 desta publicação.

Em estreita proximidade temporal com as campanhas de espionagem cibernética direcionadas a essas entidades, a Iniciativa de Transparência Marítima da Ásia  relatou  interrupções no local do projeto decorrentes da Intervenção da Guarda Costeira Chinesa. A Proofpoint avalia com confiança moderada que essa atividade pode ser atribuída ao ator de ameaças TA423 / Red Ladon, que  vários  relatórios  avaliam  operar fora da Ilha de Hainan, na China. Uma acusação de 2021 pelo Departamento de Justiça dos EUA  avaliou que TA423 / Red Ladon fornece suporte de longa duração ao Ministério de Segurança do Estado da Província de Hainan (MSS). Uma das áreas de responsabilidade mais antigas do TA423 é avaliada para incluir o Mar da China Meridional, com a acusação do Departamento de Justiça dos EUA indicando que o ator da ameaça historicamente se concentrou na propriedade intelectual relacionada à tecnologia naval desenvolvida globalmente por empreiteiros de defesa financiados pelo governo federal. Esta acusação também incluiu explicitamente a menção da existência da Base Naval de Yulin, que foi declarada localizada na Ilha de Hainan.

Embora não seja possível estabelecer uma correlação direta entre a campanha de espionagem cibernética visando entidades envolvidas com o site e partes de sua cadeia de suprimentos nos dias que antecederam diretamente a intervenção naval cinética, o foco histórico de segmentação do TA423 / Red Ladon e a intervenção naval subsequente pode sugerir que este projeto no Mar da China Meridional era muito provavelmente uma área de interesse prioritário para o agente da ameaça.

Um estudo de caso estendido: TA423 tem como alvo a cadeia de suprimentos do parque eólico offshore de Yunlin no Estreito de Taiwan  

Nos dias 24, 28 e 29 de março de 2022, a Proofpoint observou atividade de phishing aproveitando a injeção de modelo RTF que visava um fabricante europeu de equipamentos pesados ​​utilizados na instalação de um parque eólico offshore no Estreito de Taiwan. Especificamente, o fabricante visado era um fornecedor chave de equipamentos para entidades envolvidas na construção do Parque Eólico Offshore de Yunlin. Este é um projeto que começou em 2020 e foi projetado para ser concluído em 2022. No entanto, o projeto começou a sofrer atrasos na construção que  resultaram em vários grandes empreiteiros rescindindo contratos e deixando o projeto inacabado entre novembro de 2021 e fevereiro de 2022. Este projeto de energia offshore  retomada no final de abril de 2022.

As datas da atividade de phishing observada se alinham com o período entre 2 de fevereiro de 2022 e 28 de abril de 2022, onde o futuro do projeto era incerto. A segmentação de entidades da cadeia de suprimentos pelo TA423 durante este período de incerteza do projeto é notável, uma vez que o grupo já havia direcionado projetos no Mar da China Meridional durante momentos-chave em seu cronograma de desenvolvimento.

 

Conclusão  

Este blog examinou várias fases de uma campanha de phishing sustentada, em execução por mais de um ano e atualmente em andamento, que os analistas de inteligência de ameaças da Proofpoint e da PwC atribuem ao agente de ameaças baseado em espionagem TA423 / Red Ladon baseado na China. A campanha tem um alcance internacional, mas um forte foco na região da Ásia-Pacífico, entidades governamentais australianas e empresas e países que operam no Mar da China Meridional. Em particular, a Proofpoint observou o TA423 / Red Ladon visando entidades diretamente envolvidas com projetos de desenvolvimento no Mar da China Meridional na época das tensões entre a China e outros países relacionados a projetos de desenvolvimento de alta importância estratégica, como o campo de gás Kasawari desenvolvido pela Malásia e um parque eólico offshore no Estreito de Taiwan.

Do ponto de vista operacional, além de seu conjunto de ferramentas personalizado e ferramentas de segurança ofensivas, como Meterpreter, TA423 / Red Ladon, também retornou ao ScanBox. A última vez que o TA423 / Red Ladon foi documentado publicamente usando o ScanBox foi em 2018. Embora a atividade do ScanBox tenha sido relatada mais esporadicamente desde sua primeira aparição em 2014 e uso pesado em 2015, continua sendo uma ferramenta disponível e compartilhada entre os chineses. agentes de ameaças baseados para implantar seletivamente em campanhas. Observamos o TA423 / Red Ladon usando o ScanBox, tanto em 2018 quanto em 2022, em campanhas usando uma próxima eleição nacional como isca, em que o ator da ameaça construiu sites maliciosos com temas de notícias locais para atrair alvos para infectá-los.

Após a acusação e divulgação pública do Departamento de Justiça dos EUA em julho de 2021, os analistas da Proofpoint não observaram uma interrupção distinta do ritmo operacional especificamente para campanhas de phishing associadas ao TA423/Red Ladon. Embora a acusação atribua esse ator de ameaça a uma entidade específica que opera com o apoio de uma agência de inteligência estatal chinesa, os detalhes técnicos incluídos não abrangem as táticas atualmente em uso pelo grupo em estado selvagem. Como resultado, o grupo ficou livre para continuar usando novas técnicas de phishing, como RTF Template Injection, que começou no início de 2021 (antes da acusação) e persistiu até março de 2022.

No geral, a Proofpoint e a PwC esperam coletivamente que o TA423 / Red Ladon continue perseguindo sua missão de coleta de inteligência e espionagem visando principalmente países no Mar da China Meridional, bem como outras invasões na Austrália, Europa e Estados Unidos.

Indicadores de Compromisso (IOCs)

Fase 3 IOCs (abril a junho de 2022)	Tipo de COI
visitable.daishaju@gmail[.]com	Endereço do remetente do e-mail de phishing
goodlandteactuator@gmail[.]com	Endereço do remetente do e-mail de phishing
claire3bluntxq@gmail[.]com	Endereço do remetente do e-mail de phishing
ascents.nestora2@gmail[.]com	Endereço do remetente do e-mail de phishing
walknermohammad26@gmail[.]com	Endereço do remetente do e-mail de phishing
entretenimentoemiliano20@gmail[.]com	Endereço do remetente do e-mail de phishing
entretenimentoemiliano20@gmail[.]com	Endereço do remetente do e-mail de phishing
osinskigeovannyxw@gmail[.]com	Endereço do remetente do e-mail de phishing
britanisoq@outlook[.]com	Endereço do remetente do e-mail de phishing
charmainejuxtzk@outlook[.]com	Endereço do remetente do e-mail de phishing
gradyt18iheme@outlook[.]com	Endereço do remetente do e-mail de phishing
dagny382cber@outlook[.]com	Endereço do remetente do e-mail de phishing
marikok2bedax@outlook[.]com	Endereço do remetente do e-mail de phishing
pearlykeap3l@outlook[.]com	Endereço do remetente do e-mail de phishing
mattbotossd@outlook[.]com	Endereço do remetente do e-mail de phishing
thuang6102@gmail[.]com	Endereço do remetente do e-mail de phishing
earlt1948@gmail[.]com	Endereço do remetente do e-mail de phishing
amiaggitaphill@yahoo[.]com	Endereço do remetente do e-mail de phishing
zoezlb@gmail[.]com	Endereço do remetente do e-mail de phishing
Daisha Manalo <visitable.daishaju@gmail[.]com>	Cabeçalho de e-mail de phishing de
Blair Goodland <goodlandteactuator@gmail[.]com>	Cabeçalho de e-mail de phishing de
Claire Blunt <claire3bluntxq@gmail[.]com>	Cabeçalho de e-mail de phishing de
Nestor Pyles <ascents.nestora2@gmail[.]com>	Cabeçalho de e-mail de phishing de
Mohammad Walkner <walknermohammad26@gmail[.]com>	Cabeçalho de e-mail de phishing de
Emiliano Regulus <entertainingemiliano20@gmail[.]com>	Cabeçalho de e-mail de phishing de
Emiliano Regulus <entertainingemiliano20@gmail[.]com>	Cabeçalho de e-mail de phishing de
Geovanny Osinski <osinskigeovannyxw@gmail[.]com>	Cabeçalho de e-mail de phishing de
Brittani Silvestre <brittanisoq@outlook[.]com>	Cabeçalho de e-mail de phishing de
Charmaine Jubinville <charmainejuxtzk@outlook[.]com>	Cabeçalho de e-mail de phishing de
Grady Iheme <gradyt18iheme@outlook[.]com>	Cabeçalho de e-mail de phishing de
Dagny Berdecia <dagny382cber@outlook[.]com>	Cabeçalho de e-mail de phishing de
Mariko Dax <marikok2bedax@outlook[.]com>	Cabeçalho de e-mail de phishing de
Pearly Keasler <pearlykeap3l@outlook[.]com>	Cabeçalho de e-mail de phishing de
Matt Botos <mattbotossd@outlook[.]com>	Cabeçalho de e-mail de phishing de
ami phillips <amianggitaphill@yahoo[.]com>	Cabeçalho de e-mail de phishing de
Tom Huang <thuang6102@gmail[.]com>	Cabeçalho de e-mail de phishing de
Thomas Earl <earlt1948@gmail[.]com>	Cabeçalho de e-mail de phishing de
zoe browne <zoezlb@gmail[.]com>	Cabeçalho de e-mail de phishing de
hxxp://australianmorningnews[.]com/?p=23	URL de phishing
hxxp://australianmorningnews[.]com/?p=30	URL de phishing
hxxp://australianmorningnews[.]com/?p=58	URL de phishing
hxxp://australianmorningnews[.]com/?p=55	URL de phishing
hxxp://australianmorningnews[.]com/?p=30	URL de phishing
hxxp://australianmorningnews[.]com/?p=23-<UserID>	URL de phishing
hxxp://asutralianmorningnews[.]com/?p=19-<UserID> (Ator Typo)	URL de phishing
hxxp://australianmorningnews[.]com/?p=23-<UserID>	URL de phishing
australianmorningnews[.]com	Domínio controlado por ator
image[.]australianmorningnews[.]com	Domínio controlado por ator
regional[.]xyz	Domínio controlado por ator
heraldsun[.]me	Domínio controlado por ator
walmartsde[.]com	Domínio controlado por ator
theaustralian[.]in	Domínio controlado por ator
suzannehhu316[@]outlook[.]com	E-mail do registrante
cwhe18nc	Nome do arquivo do módulo principal do ScanBox
7795936ed1bdb7a5756c1ff821b2dc8739966abbb00e3e0ae114ee728bf1cf1a	Amostra de caixa de digitalização SHA-256
4dedb022d3c43db6cddd87f250db4758bd88c967f98302d97879d9fc4fadd8a2	Amostra de caixa de digitalização SHA-256
5a1c689cddb036ca589f6f2e53d323109b94ce062a09fb5b7c5a2efedd7306bc	Amostra de caixa de digitalização SHA-256
cb981d04f21a97fdb46b101a882a3490e245760489f4122deb4a0ac951a8eaee	Amostra de caixa de digitalização SHA-256
3d37a977f36e8448b087f8e114fe2a1db175372d4b84902887808a6fb0c8028f	Amostra de caixa de digitalização SHA-256
e8a919e0e02fecfe538a8698250ac3eaba969e2af2cc9d96fc86675a658e201e	Amostra de caixa de digitalização SHA-256
0b9447cb00ae657365eb2b771f4f2c505e44ca96a0a062d54f3b8544215fc082	Amostra de caixa de digitalização SHA-256
2f204f3b3abc97efc74b6fa016a874f9d4addb8ac70857267cc8e4feb9dbba26	Amostra de caixa de digitalização SHA-256
2a17927834995441c18d1b1b7ec9594eedfccaacca11e52401f83a82a982760e	Amostra de caixa de digitalização SHA-256
18db4296309da48665121899c62ed8fb10f4f8d22e44fd70d2f9ac8902896db1	Amostra de caixa de digitalização SHA-256
hxxp://image[.]australianmorningnews[.]com/i/	URL da caixa de digitalização
hxxp://image[.]australianmorningnews[.]com/i/?cwhe18nc	URL da caixa de digitalização
hxxp://image[.]australianmorningnews[.]com/i/v.php?m=b	URL da caixa de digitalização
hxxp://image[.]australianmorningnews[.]com/i/c.php?data=	URL da caixa de digitalização
hxxp://image[.]australianmorningnews[.]com/i/k.php?data=	URL da caixa de digitalização
hxxp://image[.]australianmorningnews[.]com/i/p.php?data=	URL da caixa de digitalização
hxxp://image[.]australianmorningnews[.]com/i/v.php?m=a&data=	URL da caixa de digitalização
hxxp://image[.]australianmorningnews[.]com/i/v.php?m=p&data=	URL da caixa de digitalização
hxxp://image[.]australianmorningnews[.]com/i/v.php?m=plug	URL da caixa de digitalização
ares_ambassador ausente 25 set até 25 outubro 2021.doc.rtf | F55c020d55d64d9188c916dcbece901bc6eb373ed572d349ff61758bd212857f	Nome do arquivo de anexo de injeção de modelo RTF | SHA-256
0325.rtf | 5681cf40c3f00c1a0dc89c05d983c0133cc6bf198bce59afef788d25bcd9f69	Nome do arquivo de anexo de injeção de modelo RTF | SHA-256
0325.rtf | 22df809c1f47cb8d685f9055ad478991387016f03efd302fdde225215494eb83	Nome do arquivo de anexo de injeção de modelo RTF | SHA-256
20220324.rtf | b7e435ccded277740d643309898d344268010808e0582f34ae07e879ac32cf1e	Nome do arquivo de anexo de injeção de modelo RTF | SHA-256
reunião remota online invitation.rtf | 3909ae9b64b281cca55fc2cd6d92a11b882d1a58e4c34a59a997a7cb65aba8ef	Nome do arquivo de anexo de injeção de modelo RTF | SHA-256
reunião remota online invitation.rtf | 54ad4c1853179a59d5e9c48b1cfa880c91c5bf390fcfb94e700259b3f8998cb3	Nome do arquivo de anexo de injeção de modelo RTF | SHA-256
reunião remota online invitation.rtf | c4471540b811f091124c166ab51d6d03b6757f71e29c61a0e360e5c64957fcdd	Nome do arquivo de anexo de injeção de modelo RTF | SHA-256
reunião remota online invitation.rtf | 400be1d28d966ba8491f54237adad52ad4eea8a051f45f49774b92cbfdfcf1ea	Nome do arquivo de anexo de injeção de modelo RTF | SHA-256
reunião remota online invitation.rtf | 8033a52b327ad6635fc75f6c2c17b2cb4d56e1fd00081935541c0fb020e2582f	Nome do arquivo de anexo de injeção de modelo RTF | SHA-256
reunião remota online invitation.rtf | a115051a02e4faa8eb06d3870af44560274847c099d8e2feb2ef8db8885edf5e	Nome do arquivo de anexo de injeção de modelo RTF | SHA-256
reunião remota online invitation.rtf | 57c8123dd505dadb640872f83cf0475871993e99fdb40d8b821a9120e3479f53	Nome do arquivo de anexo de injeção de modelo RTF | SHA-256
139.59.60[.]116:443 IP	C2 IP
172.105.114[.]27:80 IP	C2 IP

Fase 1 e 2 COIs	Tipo de COI
hxxps://regionail[.]xyz/	Injeção de modelo RTF e URL de entrega de carga útil
hxxps://regionail[.]xyz/austrade.au	Injeção de modelo RTF e URL de entrega de carga útil
hxxps://magloball[.]com/nDo3SB	Injeção de modelo RTF e URL de entrega de carga útil
hxxps://theaustralian[.]in/europa.eeas	Injeção de modelo RTF e URL de entrega de carga útil
hxxps://theaustralian[.]in/office	Injeção de modelo RTF e URL de entrega de carga útil
hxxps://theaustralian[.]in/word	Injeção de modelo RTF e URL de entrega de carga útil
hxxp://172.105.114[.]27/v<identificador da vítima>	Injeção de modelo RTF e URL de entrega de carga útil
hxxp://walmartsde[.]com/UpdateConfig	Injeção de modelo RTF e URL de entrega de carga útil
austrade[1].zip | 981c762ce305cd5221e8757bafa50a00fff8fbc92db5612b311c458d48c29793	Nome do arquivo de carga útil | SHA-256
GoogleDesktop.exe |6d2b301e77839fff1c74425b37d02c3f3837ce50e856c21ae4cf7ababb04addc	Nome do arquivo de carga útil | SHA-256 PE legítimo usado em DLL Sideloading
regionail[.]xyz[.]url | 13f593f217b4686d736bcfce3917964632e824cb0d054248b9ffcacc59b470d4	Nome do arquivo de carga útil | SHA-256
GoogleServices.dll | c4f6fedb636f07e1e53eaef9f18334122cb9da4193c843b4d31311347290a78f	Nome do arquivo de carga útil | SHA-256
passaporte form.zip | ab963bf7b1567190b8e5f48e7c88d53c02d7a3a57bd2294719595573a1f2b7c7	Nome do arquivo de carga útil | SHA-256
formulário de passaporte.doc.rtf | e3f1519db0039e7423f49d92d43d549b152b534856a7efde1a7eda7a9276bb22	Nome do arquivo de carga útil | SHA-256
v9 | e1f34cb031bac517796c363c2b31366509bf1367599fd5583c6bc2b0314758bb	Nome do arquivo de carga útil | SHA-256
MicrosoftEdgeSvc.exe | d357502511352995e9523c746131f8ed38457c38a77381c03dda1a1968abce42	Nome do arquivo de carga útil | SHA-256 PE legítimo usado em DLL Sideloading
msedgeupdate.dll | 55a5871b36109a38eed8aef943ccddf1ae9945f27f21b1c62210a810bb0f7196	Nome do arquivo de carga útil | SHA-256
DesProc.exe | 98fbd5eb6ae126fda8e36e3602e6793c1f719ef3fdbf792689035104b39f14ac	Nome do arquivo de carga útil | SHA-256 PE legítimo usado em DLL Sideloading
Microsoft.VisualStudio.CodeMarkers.Dll | 7e1ab1b08eb4b69df11955c3dfe3050be467a374adb704a917ee1a69abcc58a	Nome do arquivo de carga útil | SHA-256

 

 

Fonte: proofpoint