Notícias de dispositivos móveis, gadgets, aplicativos Android

Hackers chineses usando backdoor KEYPLUG para atacar Windows & Sistemas Linux

Foi relatado pelo Grupo Insikt da Recorded Future que o RedGolf, um grupo de atores de ameaças patrocinado pelo Estado chinês, estava usando um backdoor projetado especialmente para Windows e sistemas Linux chamados KEYPLUG para se infiltrar nas redes.

Como um dos grupos de amea√ßas mais prol√≠ficos do mundo, o RedGolf atua h√° muitos anos contra uma variedade de ind√ļstrias em todo o mundo.

Infraestrutura RedGolf e TTPs

Há um histórico desse grupo desenvolvendo e usando uma variedade de famílias de malware personalizadas ao longo dos anos. Ele demonstrou capacidade de transformar rapidamente em armas vulnerabilidades recentemente relatadas.

Abaixo, mencionamos as fam√≠lias de malware recentemente relatadas usadas por este grupo: ‚Äď

As ind√ļstrias e organiza√ß√Ķes visadas principalmente pelo RedGolf s√£o: –

  • Avia√ß√£o
  • Automotivo
  • Educa√ß√£o
  • Governo
  • meios de comunica√ß√£o
  • Tecnologia da Informa√ß√£o
  • Organiza√ß√Ķes religiosas

Al√©m disso, h√° uma s√©rie de falhas p√ļblicas e de dia zero que o grupo de amea√ßas RedGolf tem explorado historicamente com o prop√≥sito de obter acesso inicial a dispositivos voltados para a Internet, incluindo:-

Malware KEYPLUG

Durante 2021 e 2022, a RedGolf teve como alvo entidades governamentais estaduais dos EUA usando KEYPLUG, um backdoor Linux personalizado e modular.

V√°rias amostras e infraestruturas KEYPLUG que a RedGolf usou pelo menos de 2021 a 2023 foram identificadas pelo Grupo Insikt.

Numa campanha que comprometeu a segurança de pelo menos seis governos estaduais nos EUA, a RedGolf utilizou intensamente a plataforma KEYPLUG entre maio de 2021 e fevereiro de 2022, conforme exposto pela primeira vez pela Manidant, de propriedade do Google, em março de 2022.

KEYPLUG C2, incluindo os seguintes, suporta um total de 5 protocolos de rede: –

Análise técnica

Em outubro de 2022, a Malwarebytes publicou informa√ß√Ķes sobre um conjunto separado de ataques que exploravam um implante inexplorado denominado DBoxAgent para usar o KEYPLUG em entidades governamentais no Sri Lanka no in√≠cio de agosto daquele ano.

N√≥s recomendamos:  Pwn2Own ‚Äď Hackers ganham US$ 400 mil por 26 explora√ß√Ķes de dia zero

Como afirma a Recorded Future, estas campanhas parecem partilhar uma ligação muito estreita com a campanha da RedGolf, que também foi atribuída a Winnti (também conhecido como APT41, Barium, Bronze Atlas ou Wicked Panda).

De acordo com analistas de seguran√ßa, a √ļltima atividade do RedGolf ainda n√£o foi associada a nenhuma vitimologia espec√≠fica.

Devido √†s sobreposi√ß√Ķes entre esta a√ß√£o e campanhas de espionagem cibern√©tica relatadas anteriormente, eles acreditam que estas atividades podem ser realizadas para fins de intelig√™ncia em vez de ganho financeiro ou lucro.

Além disso, notou-se que o grupo de hackers utilizou outras ferramentas como Cobalt Strike e PlugX além das amostras KEYPLUG e sua infraestrutura operacional, que tem o codinome GhostWolf.

42 endere√ßos IP comp√Ķem a infraestrutura GhostWolf e s√£o usados ‚Äč‚Äčcomo comandos e controles para o sistema KEYPLUG.

Para obter acesso inicial às redes dos alvos, a RedGolf continuará demonstrando o ritmo operacional que lhe permitirá explorar rapidamente vulnerabilidades em dispositivos empresariais externos e armar rapidamente essas vulnerabilidades.

Recomendação

Para se defender contra ataques RedGolf, as organiza√ß√Ķes s√£o obrigadas a seguir as mitiga√ß√Ķes recomendadas pelos especialistas que mencionamos abaixo:-

  • Certifique-se de que os patches sejam aplicados regularmente.
  • Verifique o acesso aos dispositivos conectados √†s redes externas √† organiza√ß√£o.
  • Identifique a infraestrutura de comando e controle usada pelos agentes de amea√ßas e bloqueie-a.
  • Para monitorar malware, os sistemas de detec√ß√£o e preven√ß√£o de invas√Ķes precisam ser configurados de forma que detectem malware.

Leitura relacionada: