A nova ferramenta de ataque de rede Daxin tem um link chinês
Foi identificada uma ferramenta de ataque de rede extremamente sofisticada que pode criar backdoors de forma invisível.
Acredita-se que essa ferramenta esteja associada a atores chineses e provavelmente esteja em uso desde 2013.
A ferramenta de ataque à rede
A CISA e a Symantec encontraram o Daxin, a ferramenta de ataque de rede, desenvolvida especificamente para ataques em redes suficientemente seguras. Isso permite que os invasores entrem profundamente nas redes de destino e extraiam dados.
- É um backdoor de rootkit com funcionalidade C2 complexa e furtiva que permite que invasores remotos se comuniquem com dispositivos protegidos que não estão diretamente conectados à Internet.
- Os pesquisadores encontraram amostras que datam de 2013, e os recursos em versões recentes foram encontrados semelhantes a cortes mais antigos do código. Essas versões recentes estão vinculadas a agentes de ameaças vinculados à China.
Recursos de malware
O malware Daxin é capaz de realizar várias ações maliciosas.
- Ele cria um novo canal de comunicação em diferentes computadores infectados. Os invasores podem enviar uma única mensagem definindo qual nó eles desejam usar.
- A ferramenta encapsula pacotes de rede brutos transmitidos por meio de um adaptador de rede local. Ele rastreia os fluxos de rede para capturar e encaminhar quaisquer pacotes de resposta ao invasor remoto.
- Além disso, o Daxin implanta componentes de comunicação furtivos, um dos quais permite que um invasor remoto se comunique com os componentes desejados.
Comunicação com C2
A ferramenta se espalha sob o disfarce de um driver de kernel do Windows e funciona para sequestrar conexões TCP/IP legítimas.
- Ele monitora todo o tráfego TCP de entrada para padrões específicos, desconecta o destinatário genuíno e assume a conexão.
- Ele realiza uma troca de chave personalizada com o peer remoto, onde os dois lados seguem as etapas de suporte.
- Posteriormente, ele abre um canal de comunicação criptografado para receber comandos e enviar respostas.
Recentemente usado em um ataque
A Symantec afirma que a ferramenta foi usada pela última vez em novembro de 2021 por invasores associados à China. Além disso, o invasor visava infraestrutura crítica e entidades governamentais de interesse estratégico para a nação.
Conclusão
O Daxin possui um dos recursos mais complexos observados em campanhas de malware vinculadas à China. Há uma necessidade imediata de adotar uma abordagem dinâmica de segurança, juntamente com avaliações e atualizações contínuas nas medidas de segurança existentes. Sugere-se que as organizações façam uso de IOCs que podem ajudar na detecção de atividades maliciosas.
Fonte: https://cyware.com/
