MESSAGEMANIFOLD Malware

O MESSAGEMANIFOLD Malware é um tipo de malware recém-descoberto, observada como parte do arsenal de um grupo de hackers ainda não identificado. A última campanha que implantou a ameaça de malware foi alavancada contra a comunidade tibetana, mas no início deste ano, em maio de 2020, o MESSAGEMANIFOLD foi observado visando legisladores taiwaneses.

A cadeia de ataque da ameaça começa com a disseminação de e-mails de spear phishing altamente direcionados. Para obter o máximo de envolvimento dos alvos selecionados, os e-mails foram criados para aparecer como convites para atividades importantes para a comunidade tibetana, como conferências. O corpo dos e-mails continha um ou dois links do Google Drive que iniciaram um download de executáveis corrompidos com o nome 'dalailama-Invitations.exe'. Os arquivos agiram como droppers de primeiro estágio - após a execução, uma falsa mensagem de erro do Windows é exibida para desviar a atenção do fato de que um segundo executável está sendo descartado na pasta 'C:\users|Public'. A conexão com a infraestrutura Command-and-Control (C2, C&C) é estabelecida por meio de solicitações HTTP POST. Os pesquisadores da Infosec determinaram que uma resposta específica do servidor C2 pode ser necessária antes que o malware possa prosseguir para o próximo estágio de infecção.

As duas campanhas observadas envolvendo o Malware MESSAGEMANIFOLD exibem muitas sobreposições entre si, sugerindo que o mesmo grupo de hackers é responsável por ambos. Por exemplo, todos os domínios envolvidos nas campanhas foram hospedados em AS 42331 (PE Freehost) e AS 42159 (Zemlyaniy Dmitro Leonidovich), disponíveis para compra através da Deltahost, um provedor de hospedagem ucraniano. Pegar o endereço de e-mail 'diir.tibet.net@mail.ru' que foi usado para registrar os dois domínios C2 levou os pesquisadores do Insikt Group à descoberta de três domínios adicionais com o tema Tibete - in-tibet.net, mail-tibet .net e dalailama.online. Todos os domínios descobertos foram registrados através do mesmo revendedor de domínio - Domenburg.

Os aspectos peculiares das duas campanhas de ataque apóiam a conjectura de que o grupo de hackers por trás delas poderia ser patrocinado pelo Estado. Na verdade, a natureza altamente direcionada das vítimas, o baixo volume de operações atribuídas ao grupo e a aparente falta de motivação financeira sustentam essa teoria. Além disso, a importância estratégica dos alvos e o fato de que Taiwan e a região tibetana há muito são pontos de concentração de interesses chineses também podem ser uma pista importante para determinar a lealdade dos hackers.