Os pesquisadores de segurança cibernética do Symantec Threat Labs descobriram recentemente que o grupo de hackers APT tem utilizado o malware backdoor especializado ‘Merdoor’ para conduzir ataques precisos e prolongados nos seguintes setores no Sul e Sudeste Asiático desde 2018:-
- Governo
- Aviação
- Telecomunicação
Além disso, desde 2018, Lancefly tem usado o malware backdoor Merdoor em ataques específicos.
Os pesquisadores da Symantec observaram o uso desse malware backdoor em várias campanhas, desde 2020 até o primeiro trimestre de 2023, com o objetivo principal de espionar e coletar relatórios de inteligência.
Lancefly Hackers APT Cadeia de Ataque
Embora A Symantec não identificou Apesar do método preciso de infecção inicial empregado pelo Lancefly, as evidências sugerem que o grupo utilizou técnicas como e-mails de phishing, força bruta de credenciais SSH e exploração de vulnerabilidades em servidores públicos para obter acesso não autorizado.
Os invasores injetam o backdoor Merdoor por meio de carregamento lateral de DLL em arquivos legítimos. Windows processos, como “perfhost.exe” ou “svchost.exe”, para ajudar o malware a evitar a detecção assim que se estabelecer no sistema de destino.
O conta-gotas Merdoor contém três arquivos e é um RAR autoextraível (SFX): –
- Um binário legítimo e assinado vulnerável ao sequestro de ordem de pesquisa de DLL
- Um carregador malicioso (carregador Merdoor)
- Um arquivo criptografado (.pak) contendo a carga final (backdoor Merdoor)
O conta-gotas Merdoor, após a execução, extrai arquivos incorporados e aproveita versões mais antigas de cinco aplicativos legítimos para facilitar o carregamento lateral de DLL para carregar o carregador Merdoor.
Depois de se instalar como um serviço que persiste entre as reinicializações, o backdoor Merdoor estabelece comunicação com o servidor C2 por meio de diversos protocolos suportados. Aguarda mais instruções, permitindo ao Lancefly manter o acesso e uma posição segura no sistema da vítima.
Abaixo, mencionamos todos os protocolos de comunicação suportados: –
O Merdoor funciona como um backdoor que pode receber comandos por meio de portas locais e registrar as teclas digitadas para coletar informações potencialmente úteis.
Para executar rapidamente tarefas agendadas em sistemas remotos por meio de SMB, o Lancefly utiliza o recurso ‘Atexec’ do Impacket. Ao mesmo tempo, faz isso como um meio de se propagar pela rede ou eliminar arquivos de saída gerados por comandos anteriores.
Os invasores empregam despejo de memória, roubo de seções de registro e criptografia de arquivos com uma ferramenta WinRAR disfarçada, seguido de provável exfiltração usando Merdoor para roubar credenciais e extrair dados confidenciais.
Ferramentas de cadeia de ataque e TTPs
Abaixo, mencionamos todas as ferramentas da cadeia de ataque e TTPs: –
- Impacto Atexec
- Atividade suspeita de pequenas e médias empresas
- WinRAR
- Dumper LSSAS
- NBTScan
- Carregador Negro
- Pré-carregador
Rootkit ZXShell
Os ataques Lancefly incorporam um rootkit ZXShell atualizado, aproveitando seus recursos avançados por meio do carregador “FormDII.dll”, que permite a implantação de cargas personalizadas, execução de shellcode, encerramento de processos e funcionalidades adicionais baseadas na arquitetura do sistema do host.
Lancefly usa uma base de código compartilhada para suas ferramentas, como evidenciado pelo código comum entre o utilitário de instalação e atualização do rootkit e o carregador Merdoor, com o primeiro também capaz de:-
- Criando serviços
- Modificando o registro
- Compactando seu executável para evitar a detecção
Links possíveis
Embora o rootkit ZXShell tenha sido usado por vários grupos chineses de APT, incluindo APT17 e APT41, a conexão com o Lancefly é tênue devido à disponibilidade pública do rootkit há anos.
O nome do carregador de rootkit “formdll.dll” usado por Lancefly foi observado em uma campanha APT27 anterior, mas permanece incerto se essa escolha confunde intencionalmente os analistas e dificulta os esforços de atribuição.
A utilização de trojans de acesso remoto (RATs) PlugX e ShadowPad comumente empregados, compartilhados por vários grupos chineses de APT, fornece suporte adicional para a proposição de que Lancefly tem origens chinesas.
