A Check Point Research (CPR), divisão de Inteligência em Ameaças da Check Point Software, descobriu uma campanha de ciberespionagem em andamento com foco em organizações governamentais nas regiões da África e no Caribe.
Atribuída ao agente de ameaças chinês Sharp Dragon (anteriormente conhecido como Sharp Panda), a campanha adota o Cobalt Strike Beacon como carga útil (payload), possibilitando funcionalidades de backdoor como comunicação C2 e execução de comandos, ao mesmo tempo que minimiza a exposição de suas ferramentas personalizadas. Essa abordagem refinada sugere uma compreensão mais profunda de seus alvos.
As descobertas dos pesquisadores da CPR indicam que as operações do Sharp Dragon seguem intensas, agora expandindo seu foco para novas regiões. Além disso, o Sharp Dragon tem utilizado entidades governamentais confiáveis para infectar novas organizações e estabelecer pontos de entrada iniciais em novos territórios previamente inexplorados.
Os agentes de ameaças também demonstram maior cautela na seleção de seus alvos, ampliando seus esforços de reconhecimento e adotando o Cobalt Strike Beacon em vez de backdoors personalizados, mostrando uma abordagem refinada de infiltração. Ao longo de suas operações, o agente hostil explorou vulnerabilidades de dia um para comprometer infraestruturas que posteriormente foram usadas como infraestruturas de Comando e Controle (C&C).
Análise detalhada
Desde 2021, a CPR tem monitorado de perto as atividades do Sharp Dragon, que envolvem principalmente e-mails de phishing altamente direcionados, resultando na implantação de malwares como VictoryDLL ou o framework Soul. No entanto, uma mudança significativa ocorreu nos últimos meses, com o Sharp Dragon redirecionando parte de seu foco da região da Ásia-Pacífico para organizações governamentais na África e no Caribe.
Essa expansão está alinhada com seu modus operandi, caracterizado pelo comprometimento de contas de e-mail de alto perfil para disseminar documentos de phishing, agora armados com o Cobalt Strike Beacon para capacidades de infiltração aprimoradas.
De acordo com Sergey Shykevich, gerente de Inteligência de Ameaças da Check Point Research (CPR), “a expansão do Sharp Dragon para a África e o Caribe destaca uma mudança nos alvos desse agente e seus pontos de interesse. A adoção do Cobalt Strike Beacon reflete uma evolução em suas táticas, sinalizando a necessidade de maior vigilância entre as organizações nessas regiões”.
Essas atividades são consistentes com o modus operandi estabelecido do Sharp Dragon, caracterizado pelo comprometimento de contas de e-mail de alto perfil para disseminar documentos de phishing utilizando um template remoto armado com o RoyalRoad. No entanto, ao contrário das táticas anteriores, essas iscas agora implantam o Cobalt Strike Beacon, indicando uma adaptação estratégica para aprimorar suas capacidades de infiltração.
Cadeia de infecção
Primeiro, os agentes de ameaças utilizam e-mails de phishing altamente personalizados, muitas vezes disfarçados como correspondências legítimas, para atrair as vítimas a abrirem anexos maliciosos ou clicarem em links maliciosos.
Esses anexos ou links executam cargas úteis (payload), que evoluíram ao longo do tempo de malwares personalizados, como VictoryDLL e o framework Soul, para ferramentas mais amplamente utilizadas, como o Cobalt Strike Beacon.
Após a execução bem-sucedida, o malware estabelece um ponto de entrada no sistema da vítima, permitindo que os agentes de ameaças realizem reconhecimento e coletem informações sobre o ambiente alvo. Esta fase de reconhecimento permite ao Sharp Dragon identificar alvos de alto valor e adaptar suas estratégias de ataque de acordo com isso.
Essa cadeia de infecção destaca a abordagem sofisticada do Sharp Dragon para operações cibernéticas, enfatizando o planejamento cuidadoso, reconhecimento e exploração de vulnerabilidades para alcançar seus objetivos enquanto minimizam a detecção.
Táticas, técnicas e procedimentos
Embora a funcionalidade principal permaneça consistente, os pesquisadores da Check Point Research identificaram mudanças em suas Táticas, Técnicas e Procedimentos (TTPs). Essas mudanças refletem uma seleção de alvos mais cuidadosa e uma maior consciência de segurança operacional (OPSEC).
O downloader 5.t agora realiza um reconhecimento mais completo nos sistemas-alvo, incluindo a análise de listas de processos e a enumeração de pastas, levando a uma seleção mais criteriosa das potenciais vítimas. O Sharp Dragon também passou de usar VictoryDll e o framework SoulSearcher para adotar o Cobalt Strike Beacon como a carga útil para o downloader 5.t, proporcionando funcionalidades de backdoor enquanto minimiza a exposição de ferramentas personalizadas, sugerindo uma abordagem refinada para a avaliação de alvos e minimização de exposição.
Observações recentes ainda indicam uma mudança notável nos downloaders 5.t, com alguns dos últimos exemplos incorporando carregadores baseados em EXE em vez dos típicos baseados em DLL, destacando a evolução dinâmica de suas estratégias. Além disso, o Sharp Dragon introduziu um novo executável, mudando da cadeia de infecção baseada em documentos do Word para executáveis disfarçados como documentos, semelhante ao método anterior, mas aprimorando a persistência através de tarefas agendadas.
Por fim, o Sharp Dragon muda de servidores dedicados para usar servidores comprometidos como servidores de Comando e Controle (C&C), especificamente utilizando a vulnerabilidade CVE-2023-0669, que é uma falha na plataforma GoAnywhere que permite injeção de comandos de pré-autenticação.
“A expansão estratégica do Sharp Dragon para a África e o Caribe representa um esforço mais amplo dos atores cibernéticos chineses para aumentar sua presença e influência nessas regiões. As táticas em evolução do Sharp Dragon destacam a natureza dinâmica das ameaças cibernéticas, especialmente em relação a regiões historicamente negligenciadas. Essas descobertas só reforçam a importância de medidas de cibersegurança robustas e de prevenção, por meio de soluções que ofereçam proteção abrangente contra ameaças emergentes”, conclui Sergey Shykevich.
