O Ataque de um APT Espalha Malware Usando o Tema Coronavirus
O grupo APT (Ameaça Persistente Avançada) foi flagrado enviando e-mails de spear-phishing que supostamente tinham informações detalhadas sobre o COVID-19, também conhecido como Coronavírus, mas infectam as vítimas com um Trojan de Acesso Remoto personalizado (RAT).
O grupo está usando a pandemia do coronavírus para infectar vítimas inocentes com um malware anteriormente não visto. O malware é apelidado de 'Vicious Panda' pelos pesquisadores, com os atacantes usando-o em uma campanha no momento. Os pesquisadores conseguiram encontrar dois arquivos Rich Text Format (RTF) direcionados ao setor público da Mongólia durante o surto. Depois que os arquivos são abertos, um Trojan de acesso remoto exclusivo e personalizado é executado. Ele desenvolve uma lista de diretórios e dados do dispositivo infectado, captura de tela e coleta geral de informações.
Os pesquisadores da Check Point mencionaram que a campanha parecia ser a mais recente iteração de uma operação chinesa de longa duração. As operações parecem visar vários governos e organizações em todo o mundo. Nesse caso específico, a pandemia do COVID-19 foi usada para atrair as vítimas e desencadear a cadeia de infecções digitais.
E-Mails Usando Engenharia Social para Enganar os Usuários
Os e-mails afirmam pertencer ao Ministério das Relações Exteriores da Mongólia, com supostas informações sobre novas infecções pelo Coronavírus. Os arquivos RTF anexados nos e-mails foram armados. Isso aconteceu com uma versão do RoyalRoad, uma ferramenta usada por vários atores de ameaças chineses. A ferramenta permite que os atacantes criem documentos personalizados com objetos incorporados, que podem explorar vulnerabilidades no Editor de Equações no Microsoft Word.
Depois que a vítima decide abrir os documentos RTF criados especialmente, a vulnerabilidade do Microsoft Word é explorada, com o arquivo malicioso chamado intel.wll colocado na pasta de inicialização do MS Word (% APPDATA%\Microsoft\Word\STARTUP).
Isso permite que a ameaça atinja a persistência, mas também impede que a cadeia de infecção atue se for executada dentro de uma sandbox, pois é necessário reiniciar o MS Word para executar completamente o malware. O Intel.dll baixa outro arquivo DLL que atua como um carregador para o malware, que também se comunica com o servidor de comando e controle usado pelos atores da ameaça.
O agente de ameaças opera o servidor de C&C em janelas limitadas diariamente, por apenas algumas horas, o que dificulta o rastreamento e a análise das partes avançadas da cadeia de infecção, de acordo com os pesquisadores. Durante o estágio final da cadeia de infecção, um comando é recebido e a pasta mal-intencionada baixa e descriptografa o módulo RAT, que também está na forma de uma DLL, e o carrega na memória. Essa arquitetura do tipo plug-in pode mostrar que há outros módulos envolvidos, além da carga útil.
A Semelhança com as Campanhas Anteriores pode Revelar Mais sobre os Atores da Ameaças
Quando os pesquisadores analisaram a atribuição, eles compararam a campanha atual com a que ocorreu em 2017, onde os autores de ameaças estavam usando o Trojan CMSTAR, enquanto tinham como alvo o governo da Bielorrússia. Os pesquisadores disseram que encontraram código e infraestrutura semelhantes com a carga útil de ambas as campanhas. A campanha permitiu que eles vinculassem a operação a outras realizadas pelo mesmo grupo sem nome. Eles datam de 2016. Ao longo dos anos, outros países foram afetados, como Ucrânia e Rússia, além da Bielorrússia.
Os invasores continuam com as suas operações com o tema do Coronavírus. Eles estão usando o pânico da pandemia para promover os seus objetivos e usar engenharia social e malware no processo.