blank

blank

Sumário Executivo

As tensões entre a China e as Filipinas aumentaram acentuadamente nos últimos meses. No início de agosto, um navio da Guarda Costeira chinesa disparou o seu canhão de água contra um navio filipino que realizava uma missão de reabastecimento ao disputado Second Thomas Shoal, nas Ilhas Spratly. Desde então, as Filipinas anunciaram patrulhas conjuntas com os Estados Unidos, e exercícios navais com a Austrália . Foi relatado que a Guarda Costeira Filipina encerrou uma linha direta estabelecida com seus homólogos chineses e agiu para remover as barreiras chinesas colocadas perto do disputado Scarborough Shoal.

Coincidindo com estes eventos do mundo real, os investigadores da Unidade 42 observaram três campanhas do Stately Taurus durante o mês de agosto. Avalia-se que essas campanhas têm como alvo entidades no Pacífico Sul, incluindo o governo das Filipinas. As campanhas utilizaram software legítimo, incluindo Solid PDF Creator e SmadavProtect (uma solução antivírus baseada na Indonésia) para transferir arquivos maliciosos. Os autores da ameaça também configuraram criativamente o malware para representar o tráfego legítimo da Microsoft para conexões de comando e controle (C2).

Stately Taurus (também conhecido como Mustang Panda, Bronze President, Red Delta, Luminous Moth, Earth Preta e Camaro Dragon) está em operação desde pelo menos 2012. É avaliado como um grupo chinês de ameaças persistentes avançadas (APT) que conduz rotineiramente campanhas de ciberespionagem. Historicamente, este grupo tem como alvo entidades governamentais e organizações sem fins lucrativos, bem como organizações religiosas e outras organizações não governamentais na América do Norte, Europa e Ásia.

Os clientes da Palo Alto Networks recebem proteção contra as ameaças descritas neste artigo por meio  da análise de malware Cortex XDR  e  WildFire.

Tópicos Relacionados da Unidade 42 China, APT, Stately Taurus

Índice

Campanhas
Campanha 1
Campanha 2
Campanha 3
C2 Infraestrutura
Conclusão
Recomendações de proteção
Proteções e mitigações
Indicadores de comprometimento
Stately Taurus Samples
Infraestrutura
Recursos adicionais

Campanhas

A Unidade 42 observou três campanhas do Stately Taurus durante o mês de agosto.

Campanha 1

A primeira campanha foi observada em 1º de agosto de 2023, quando identificamos um pacote de malware Stately Taurus hospedado para download no Google Drive. Os operadores de ameaças configuraram este pacote de malware como um arquivo ZIP denominado 230728 Meeting Minutes.zip . Ao extrair este arquivo, as vítimas inocentes são apresentadas à visualização mostrada na Figura 1.

blank
Figura 1. Conteúdo do arquivo ZIP.

Por padrão, as vítimas recebem um aplicativo visível (20230728 Meeting Minutes.exe) que contém um ícone PDF. Este arquivo é na verdade uma cópia legítima do software Solid PDF Creator que foi renomeado. No entanto, o que as vítimas não veem é que esta pasta contém um segundo arquivo oculto chamado SolidPDFCreator.dll .

Qualquer tentativa de executar o software legítimo Solid PDF Creator resultará no carregamento lateral da DLL maliciosa contida na mesma pasta. Depois de carregada, a DLL maliciosa estabelece uma conexão com 45.121.146[.]113 para facilitar o C2.

Avaliamos que uma entidade associada ao governo das Filipinas viu este primeiro pacote de malware já em 1º de agosto de 2023.

Campanha 2

Posteriormente, identificamos uma segunda campanha de malware Stately Taurus em 3 de agosto de 2023. Este pacote de malware foi configurado como um arquivo ZIP denominado NUG’s Foreign Policy Strategy.zip . Neste caso, acredita-se que a sigla “NUG” seja uma referência ao Governo de Unidade Nacional de Mianmar. Ao extrair este arquivo, as vítimas são apresentadas a uma visão semelhante à primeira campanha, mostrada na Figura 2.

blank
Figura 2. Conteúdo do arquivo ZIP.

Aqui vemos uma cópia legítima do software Solid PDF Creator que foi renomeado como NUG’s Foreign Policy Strategy.exe. Também vemos o arquivo SolidPDFCreator.dll oculto que é carregado lateralmente quando o aplicativo é iniciado. No entanto, o que engana neste exemplo é que este arquivo ZIP também contém arquivos adicionais ocultos no caminho:

Estratégia de Política Externa do NUG\#\#\#\#\#\#\#\#\#\#\#\

Após percorrer 11 pastas denominadas #, identificamos três arquivos adicionais, mostrados na Figura 3.

blank
Figura 3. Conteúdo da pasta # .

Em termos de fluxo de processo, ao executar o binário Foreign Policy Strategy.exe do NUG visível, a ameaça carrega SolidPDFCreator.dll. Esta DLL então copia esses três arquivos ( errordetails , SmadavProtect32.exe e Smadhook32c.dll ) para o diretório inicial da vítima e estabelece uma chave de registro (HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\AHealthDB) para chamar SmadavProtect32.exe quando um usuário faz logon.

SmadavProtect32.exe é uma cópia legítima e benigna de um programa antivírus indonésio chamado SmadAV. Após o login, SmadavProtect32.exe carregará a DLL maliciosa ( SmadHook32c.dll ) e, em seguida, o malware ( errordetails ) contido na mesma pasta. Depois de executado, o malware é configurado para ligar para 45.121.146[.]113 para C2.

Campanha 3

A terceira campanha é estruturalmente idêntica à primeira campanha e foi criada em 16 de agosto de 2023. No entanto, os nomes dos arquivos ZIP e EXE usam Labor Statement.zip em vez de 230.728 atas de reunião do primeiro exemplo.

Ao extrair o conteúdo do arquivo ZIP, as vítimas são apresentadas a dois arquivos. O primeiro arquivo, chamado Labor Statement.exe , é uma cópia benigna do software Solid PDF Creator. O segundo arquivo é uma DLL maliciosa chamada SolidPDFCreator.dll . Após a execução do aplicativo, a DLL maliciosa é carregada e estabelece uma conexão com 45.121.146[.]113 para C2 consistente com as duas campanhas anteriores.

Infraestrutura C2

O endereço IP 45.121.146[.]113 foi associado pela primeira vez ao Stately Taurus durante uma série de campanhas lançadas em junho de 2023. Avaliamos que os atores continuaram a alavancar esta infraestrutura ao longo do mês de agosto de 2023. No entanto, um aspecto interessante do A atividade C2 é que os atores tentaram disfarçá-la como tráfego legítimo da Microsoft, conforme mostrado na Figura 4.

blank
Figura 4. Instrução POST de malware.

Especificamente, nas declarações POST, o malware define o campo host como wcpstatic.microsoft[.]com, apesar do tráfego ser direcionado para um endereço IP na Malásia que não tem relação com nenhum serviço legítimo da Microsoft.

Além disso, ao monitorar o tráfego associado ao servidor C2, identificamos múltiplas conexões entre 10 e 15 de agosto de 2023, originadas da infraestrutura do governo das Filipinas. Dado o tráfego para o servidor C2 malicioso conhecido, avaliamos que uma entidade governamental das Filipinas provavelmente foi comprometida durante essas campanhas, pelo menos durante o período de cinco dias em agosto de 2023.

Conclusão

Durante o mês de agosto, os atores do Stately Taurus lançaram pelo menos três campanhas visando entidades no Pacífico Sul. Avaliamos que pelo menos uma destas campanhas teve como alvo directo o governo das Filipinas e que os intervenientes tiveram sucesso nas suas tentativas de comprometer uma entidade governamental durante cinco dias em Agosto.

A Stately Taurus continua a demonstrar a sua capacidade de conduzir operações persistentes de ciberespionagem como uma das APT chinesas mais ativas. Estas operações visam uma variedade de entidades a nível mundial que se alinham com temas geopolíticos de interesse para o governo chinês. Incentivamos as organizações a aproveitar as nossas descobertas para informar a implementação de medidas de proteção para se defenderem contra este grupo de ameaças.

Recomendações de Proteção

Para se defender contra as ameaças descritas neste blog, a Palo Alto Networks recomenda que as organizações empreguem os seguintes recursos:

  • Segurança de rede: fornecida por meio de um firewall de última geração (NGFW) configurado com serviços de segurança habilitados para aprendizado de máquina e os melhores da categoria fornecidos em nuvem. Isto inclui, por exemplo, prevenção de ameaças, filtragem de URL, segurança de DNS e um mecanismo de prevenção de malware capaz de identificar e bloquear amostras e infraestruturas maliciosas.
  • Endpoint Security: fornecido por meio de uma solução XDR que pode identificar códigos maliciosos por meio do uso de aprendizado de máquina avançado e análise comportamental. Esta solução deve ser configurada para agir e bloquear ameaças em tempo real à medida que são identificadas.
  • Automação de segurança: fornecida por meio de uma solução XSOAR ou XSIAM capaz de fornecer aos analistas SOC uma compreensão abrangente da ameaça derivada da união de dados obtidos de endpoints, rede, nuvem e sistemas de identidade.

Proteções e Mitigações

Os clientes da Palo Alto Networks recebem proteção contra as ameaças discutidas acima através dos seguintes produtos:

  • O serviço avançado  de análise de malware fornecido pela nuvem WildFire identifica com precisão o malware descrito neste blog como malicioso.
  • O Cortex XDR  impede a execução de malware conhecido e também impede a execução de malware desconhecido usando a Proteção Comportamental contra Ameaças e aprendizado de máquina baseado no módulo Análise Local.

Se você acha que pode ter sido comprometido ou tem um assunto urgente, entre em contato com a equipe de Resposta a Incidentes da Unidade 42 ou ligue:

  • Ligação gratuita para América do Norte: 866.486.4842 (866.4.UNIT42)
  • EMEA: +31.20.299.3130
  • APAC: +65.6983.8730
  • Japão: +81.50.1790.0200

A Palo Alto Networks compartilhou essas descobertas com nossos colegas membros da Cyber ​​Threat Alliance (CTA). Os membros do CTA utilizam esta inteligência para implementar rapidamente proteções aos seus clientes e para interromper sistematicamente agentes cibernéticos maliciosos. Saiba mais sobre a Aliança contra Ameaças Cibernéticas.

Indicadores de Compromisso

Amostras Stately Taurus

  • bebde82e636e27aa91e2e60c6768f30beb590871ea3a3e8fb6aedbd9f5c154c5
  • 24c6449a9e234b07772db8fdb944457a23eecbd6fbb95bc0b1398399de798584
  • ba7c456f229adc4bd75bfb876814b4deaf6768ffe95a03021aead03e55e92c7c
  • 969b4b9c889fbec39fae365ff4d7e5b1064dad94030a691e5b9c8479fc63289c
  • 3597563aebb80b4bf183947e658768d279a77f24b661b05267c51d02cb32f1c9
  • d57304415240d7c08b2fbada718a5c0597c3ef67c765e1daf4516ee4b4bdc768
  • 54be4a5e76bdca2012db45b1c5a8d1a9345839b91cc2984ca80ae2377ca48f51
  • 2b05a04cd97d7547c8c1ac0c39810d00b18ba3375b8feac78a82a2f9a314a596

A Infraestrutura

  • 45.121.146[.]113
  • hxxps://drive.google[.]com/uc?id=1QLIQXP-s42TtZsONsKLAAtOr4Pdxljcu

Recursos Adicionais

 

 

Descubra mais sobre DCiber

Assine para receber os posts mais recentes por e-mail.

ARTIGOS RELACIONADOSMais do autor