*Daksh Kapur e Leandro Velasco, cientistas de pesquisa na Trellix
“As tensões recentes entre a China e Taiwan têm aumentado devido à crescente presença militar da China e ações provocativas na região. A China há muito reivindica Taiwan como parte de seu território e pressiona a ilha para se reunificar com o continente. Além disso, a China tornou-se um dos principais atores de ameaças e o país com maior prevalência de atividades de estado-nação. Por outro lado, Taiwan tem mantido sua independência e vem fortalecendo suas capacidades militares em resposta à agressão da China.
Nos últimos meses, as tensões intensificadas entre Taiwan e a China contribuíram para um notável aumento dos ataques cibernéticos contra Taiwan. Nossos pesquisadores identificaram um avanço preocupante de ataques direcionados a vários setores da região, com o objetivo de distribuir malware e roubar informações confidenciais.
A Trellix observou um aumento de e-mails maliciosos direcionados a Taiwan, começando em 7 de abril e continuando até 10 de abril. O número de e-mails maliciosos durante esse período aumentou mais de quatro vezes o valor normal. Embora várias indústrias tenham sido visadas durante o ataque, os segmentos mais impactados no respectivo período foram:
· Rede/TI
· Manufatura
· Logística
Além disso, durante a última semana de janeiro de 2023, nossos pesquisadores observaram um crescimento significativo de e-mails de extorsão destinados a funcionários do governo de Taiwan, com um aumento de 30 vezes na contagem de e-mails maliciosos. Embora não esteja claro se essa atividade é realizada por agentes de ameaças apoiados pela China, ela indica um aumento contínuo de ataques direcionados especificamente a Taiwan.
“No decorrer dos últimos anos, percebemos que os conflitos geopolíticos são um dos principais impulsionadores de ataques cibernéticos em diversos setores e instituições. O monitoramento de eventos geopolíticos pode ajudar as organizações a prever ataques cibernéticos nos países em que operam. A Trellix, com o Atlas e Insights, serviços de monitoramento global, juntamente com soluções de email, rede, EDR e XDR, pode ajudar as organizações a ajustar preventivamente seus sistemas para detectar e mitigar ataques emergentes”, explica Joseph Tal, vice-presidente sênior do Trellix Advanced Research Center (ATLAS).
E-mails maliciosos:
Os pesquisadores do Trellix Advanced Research Center encontraram diferentes estilos de campanhas de e-mails maliciosos. A seguir, um breve resumo das amostras analisadas:
Amostra 1: O e-mail é uma notificação falsa de pagamento em atraso, falsificando um escritório de advocacia e, para adicionar um senso de urgência, o e-mail contém um aviso de ação legal por falta de pagamento. Com ele, o e-mail contém um anexo malicioso.
Amostra 2: O e-mail é uma notificação de remessa falsa, adulterando a DHL e contendo uma URL que redireciona o usuário para uma página de phishing.
Amostra 3: E-mail de solicitação de cotação falsa para um pedido de cimento a granel, contendo um arquivo como anexo que carrega um malware.
Amostra 4: E-mail de notificação falso com ordem de compra, contendo uma URL que redireciona o usuário para uma página de phishing.
URLs maliciosos:
A seguir estão algumas das páginas da Web maliciosas que estão sendo utilizadas para atingir organizações taiwanesas. Nossos pesquisadores notaram muitos temas diferentes, como páginas de login genéricas, páginas específicas de empresas direcionadas, páginas de login multimarcas e outros, usados para direcionar usuários visando coletar credenciais.
Malware:
PlugX:
Após o pico de e-mails maliciosos direcionados a Taiwan, a Trellix identificou um aumento nas detecções de PlugX, uma ferramenta de acesso remoto conhecida em uso desde pelo menos 2012. O PlugX é mais comumente vinculado a grupos de ameaças relacionados à China. O aumento foi observado por meio do Trellix Advanced Threat Landscape Analysis System (ATLAS), que fornece uma visão agregada de várias fontes de telemetria enriquecida com dados de campanha, incluindo pesquisas do Centro de Pesquisa Avançada da Trellix. Isso segue os TTPs (Táticas, Técnicas e Procedimentos) de muitos agentes de ameaças que usam e-mails de phishing como ponto inicial de infecção e, em seguida, implantam ferramentas mais poderosas para assumir o controle dos sistemas e se mover lateralmente.
O PlugX é um Trojan de acesso remoto (RAT) comumente usado por vários grupos APT chineses para atividades de espionagem cibernética. É conhecido por seus recursos furtivos e capacidade de evitar a detecção por software antivírus. O PlugX tenta evitar a detecção durante a instalação, usando o sideload de DLL nos sistemas de destino. Essa técnica consiste em um programa legítimo que carrega um arquivo de biblioteca de vínculo dinâmico (DLL) malicioso que se disfarça como um arquivo DLL legítimo. Isso permite a execução de código malicioso arbitrário, ignorando medidas de segurança que procuram por código malicioso executado diretamente de um arquivo executável.
O PlugX possui uma ampla gama de recursos, incluindo captura de pressionamentos de tecla, captura de tela, acesso e roubo de arquivos. Alguns dos plug-ins PlugX incluem enumeração de disco, keylogging, enumeração de recursos de rede, mapeamento de portas, encerramento de processos, edição de registro, controle de serviço e acesso remoto ao shell. Alguns dos agentes de ameaças conhecidos que usam PlugX incluem Apt10, APT27, APT41, MustangPanda e RedFoxtrot. Acredita-se que esses grupos sejam patrocinados pelo Estado e tenham sido vinculados a várias atividades de espionagem cibernética.
Malware adicional:
Durante o período analisado, a Trellix também identificou várias outras campanhas de malware direcionadas a Taiwan. A seguir estão algumas dessas campanhas observadas por nossos pesquisadores:
Kryptik: Malware desta família consiste em Trojans que usam anti-emulação, anti-depuração e ofuscação de código para impedir sua análise.
Zmutzy: Um spyware e Trojan ladrão de informações escrito na linguagem .NET da Microsoft. É usado para espionar as vítimas, coletando credenciais e outras informações do sistema infectado.
Formbook: Um malware ladrão de informações usado para roubar vários tipos de dados de sistemas infectados, incluindo credenciais armazenadas em cache em navegadores da web, capturas de tela e pressionamentos de tecla. Ele também pode atuar como um downloader, permitindo baixar e executar arquivos maliciosos adicionais.
Conclusão:
As crescentes tensões entre China e Taiwan, juntamente com o número crescente de ataques de segurança cibernética, são motivo de preocupação para indivíduos, empresas e governos em todo o mundo. É crucial que todos permaneçam vigilantes e tomem as precauções necessárias para se proteger de possíveis violações. Isso inclui a adoção das melhores práticas de segurança cibernética e manter-se informado sobre as ameaças mais recentes. Para navegar neste cenário complexo, o Centro de Pesquisa Avançada (ARC) da Trellix utiliza o ATLAS e Insights para fornecer análise e projeção de ameaças avançadas.
Autora:
Lygia Maciel
