Crosswalk Backdoor

Os pesquisadores de Infosec descobriram uma ameaça de backdoor até então desconhecida, usada em uma série de ataques por um ator de ameaças baseado na China. As operações ameaçadoras visavam principalmente desenvolvedores de videogames e editores de Hong Kong e da Rússia. Durante os quatro ataques distintos, os hackers empregaram vários tipos de malware diferentes, o que tornou mais difícil atribuir a campanha a um ator de ameaça específico.

Em maio de 2020, os hackers lançaram dois ataques separados. A primeira dependia de atalhos LNK que buscavam e executavam a carga ameaçadora final, enquanto a segunda operação empregava uma cadeia de ataque um pouco mais sofisticada. Os hackers distribuíram e-mails com um arquivo RAR ameaçador como anexo. Dentro do arquivo havia dois atalhos para PDFs que agiam como iscas, fingindo ser um currículo e um certificado IELTS. O verdadeiro propósito dos atalhos era conectar-se ao Zeplin, uma ferramenta legítima usada por desenvolvedores para colaborações. Os hackers hospedaram no Zeplin sua carga útil de estágio final, que consistia em um arquivo shellcode loader - 'svchast.exe' e Crosswalk, um malware de backdoor escondido em um arquivo chamado '3t54dE3r.tmp'.

Crosswalk não é uma nova cepa de malware, pois foi detectada pela primeira vez em 2017. Em sua essência, a ameaça é uma porta traseira modular extremamente simplificada, capaz de realizar atividades de reconhecimento em computadores comprometidos. Devido à sua natureza modular, no entanto, a funcionalidade do Crosswalk pode ser ajustada para a agenda particular dos cibercriminosos, buscando módulos adicionais da infraestrutura Command-and-Control (C2, C&C) da campanha na forma de código de shell.

Encontrando o Grupo por Trás dos Ataques

A implantação do Crosswalk finalmente deu aos pesquisadores da infosec a confiança para vincular os ataques ao grupo de hackers chinês conhecido como APT41 ou Winnti. Na verdade, a julgar apenas pelos aspectos do ataque inicial, os sinais apontavam principalmente para os hackers coreanos pertencentes ao grupo Higaisa, que são conhecidos por usar atalhos LNK em suas operações. A presença de Crosswalk e alguma sobreposição na infraestrutura entre as campanhas anteriores do Winnti e essa série de ataques dissuadiu os pesquisadores de sua conjectura original e os apontou para o provável culpado. Os alvos também são consistentes com as vítimas anteriores de Winnti que também operaram na indústria de videogames.

A atividade atual do grupo ainda está em andamento. Nos ataques mais recentes, a carga útil do malware implantado mudou mais uma vez. Até agora, arquivos RAR ameaçadores carregando uma variante do Cobal Strike Beacon foram observados em alguns casos. Em outros, os hackers aproveitaram certificados comprometidos de uma empresa taiwanesa chamada Zealot Digital para lançar ataques contra as vítimas em Honk Kong, entregando Crosswalk e Metasploit . Uma infinidade de outros malwares também foi transformada em armas, incluindo ShadowPad, Paranoid PlugX e FunnySwitch, uma ameaça de backdoor do .NET anteriormente desconhecida.