APT, com sede na China, lança malware “Sepulcher” em ataques de spear-phishing
O RAT foi distribuído em várias campanhas nos últimos seis meses, tendo como alvo funcionários europeus e dissidentes tibetanos.
Uma APT com sede na China tem enviado às organizações e-mails de spear-phishing que distribuem um RAT de coleta de informações nunca antes visto, apelidado de Sepulcro.
Os pesquisadores descobriram o novo malware distribuído nos últimos seis meses por meio de duas campanhas diferentes. O primeiro, em março, teve como alvo órgãos diplomáticos e legislativos europeus, organizações sem fins lucrativos de pesquisa de políticas e organizações globais que lidam com assuntos econômicos. O segundo, em julho, teve como alvo dissidentes tibetanos. Eles vincularam as campanhas ao grupo APT TA413, que os pesquisadores dizem estar associado aos interesses do Estado chinês e é conhecido por ter como alvo a comunidade tibetana.
“Com base no uso de endereços de remetentes publicamente conhecidos associados ao direcionamento de dissidentes tibetanos e à entrega de payloads de malware Sepulcher, [nós] atribuímos ambas as campanhas ao ator TA413 da APT”, disseram os pesquisadores da Proofpoint em uma análise na quarta-feira . “O uso de contas de remetentes com temática tibetana publicamente conhecidas para fornecer malware Sepulcher demonstra um realinhamento de curto prazo dos alvos de interesse do TA413.”
Duas Campanhas
Em março, os pesquisadores observaram uma campanha de phishing que personificava a orientação da Organização Mundial da Saúde sobre a preparação crítica do COVID-19. Os e-mails continham um anexo RTF como arma que personificava o documento da OMS “Preparação crítica, prontidão e ações de resposta para COVID-19, orientação provisória”. A orientação foi publicada inicialmente em 7 de março, enquanto o anexo com arma foi entregue por agentes da ameaça em 16 de março, disseram os pesquisadores.
Quando um alvo clica no anexo RTF como arma (denominado “Covdi.rtf”), ele explora uma falha do Microsoft Equation Editor para instalar um objeto RTF malicioso incorporado, na forma de um meta-arquivo do Windows (WMF), em um arquivo diretório (% \ AppData \ Local \ Temp \ wd4sx.wmf). A execução do arquivo WMF resulta então na entrega e instalação do malware Sepulcher.
A segunda campanha de phishing, iniciada no final de julho, teve como alvo dissidentes tibetanos com a mesma cepa de malware Sepulcher.
Os e-mails, que supostamente vinham da “Associação das Mulheres Tibetanas”, incluíam um anexo malicioso do PowerPoint (intitulado “TIBETANOS SENDO ATINGIDOS POR VÍRUS MORTAL QUE CARREGA UMA ARMA E FALA CHINÊS.ppsx”). O e-mail tinha como alvo dissidentes, com o anexo, uma vez aberto, referindo-se a “Tibete, ativismo e informação”.
Quando o anexo do PowerPoint é executado, ele chama o IP 118.99.13 [.] 4 para baixar uma carga de malware do Sepulchre chamada “file.dll”.
“O título do anexo, o conteúdo isca, o remetente personificado e o C2 com tema“ Dalai Lama Trust in India ”afirmam o foco desta campanha em indivíduos associados à liderança tibetana no exílio”, disseram os pesquisadores.
Malware “Sepulcher”
Sepulcher é um RAT básico que tem a capacidade de realizar a funcionalidade de reconhecimento dentro do host infectado, incluindo a obtenção de informações sobre as unidades, informações de arquivo, estatísticas de diretório, caminhos de diretório, conteúdo de diretório, processos e serviços em execução.
Além disso, é capaz de funcionalidades mais ativas, como excluir diretórios e arquivos, criar diretórios, mover a origem do arquivo para o destino, gerar um shell para executar comandos, encerrar um processo, reiniciar um serviço, alterar um tipo de início de serviço e excluir um serviço.
Os pesquisadores disseram que o malware Sepulcher “está longe de ser inovador”, mas observaram sua combinação com iscas oportunas de engenharia social em torno da pandemia.
Eles também apontaram que a campanha é uma reminiscência de uma campanha de julho de 2019 que foi usada para distribuir ExileRAT; o grupo TA413 APT também foi previamente documentado em associação com este RAT. ExileRAT é uma plataforma RAT simples capaz de obter dados do sistema (nome do computador, nome de usuário, listar unidades, adaptador de rede, nome do processo), obter / enviar arquivos e executar / encerrar processos.
Mudando o foco: COVID-19
O APT TA413 chinês é conhecido anteriormente por ter como alvo dissidentes tibetanos, como fez em sua campanha de julho, então o ataque de março mostra a tendência crescente dos APTs chineses se ramificando e adotando iscas COVID-19 em campanhas de espionagem durante o primeiro semestre de 2020.
Os pesquisadores disseram que, após um interesse inicial das APTs chinesas em direcionar informações sobre a resposta das economias globais ocidentais durante a pandemia, esta campanha mostra um “retorno à normalidade” nos meses mais recentes.
“O uso de contas de remetente com tema tibetano publicamente conhecidas para entregar malware Sepulcher demonstra um realinhamento de curto prazo dos alvos de interesse do TA413”, disseram os pesquisadores. “Embora mais conhecido por suas campanhas contra a diáspora tibetana, este grupo APT associado ao interesse do Estado chinês priorizou a coleta de inteligência em economias ocidentais que sofriam com o COVID-19 em março de 2020, antes de retomar a segmentação mais convencional no final deste ano.”