Nota: O seguinte artigo irá ajudá-lo com: Espionagem relatada em institutos de defesa russos por hackers chineses “Twisted Panda”
Um ataque de espionagem de uma ameaça persistente avançada de um estado-nação chinês atingiu pelo menos dois institutos de pesquisa na Rússia e um terceiro alvo potencial na Bielorrússia (APT). Os hackers foram chamados de “Twisted Panda”.
Panda Retorcido: Os Hackers Chineses
Os ataques, apelidados de “Twisted Panda”, coincidem com a invasão militar da Ucrânia pela Rússia, permitindo que uma ampla gama de agentes de ameaças altere rapidamente suas campanhas para distribuir malware e realizar ataques oportunistas em resposta ao conflito atual.
Eles tomaram a forma de métodos de engenharia social com iscas tópicas de conflito e sanções destinadas a enganar as vítimas em potencial para clicar em links ilegais ou abrir documentos armados.
A Check Point, uma empresa israelense de segurança cibernética, vinculou a atual atividade de coleta de inteligência a um agente de ameaças chinês com vínculos com Stone Panda (também conhecido como APT 10, Cicada ou Potassium) e Mustang Panda (também conhecido como Bronze President, HoneyMyte ou RedDelta) .
Acredita-se que a ação seja uma continuação de “uma longa campanha de espionagem contra empresas relacionadas à Rússia que existe desde pelo menos junho de 2021”, com as indicações mais recentes de que foi descoberta em abril de 2022.
Empresas-alvo
Duas organizações de pesquisa de defesa pertencentes à empresa estatal russa Rostec Corporation e uma entidade desconhecida em Minsk, Bielorrússia, estavam entre os alvos.
As tentativas de phishing começaram com e-mails, incluindo um documento falso do Microsoft Word destinado a ativar a infecção e descartar um carregador, se passando por Ministério da Saúde da Rússia, mas na verdade sendo um site controlado por invasores.
Além de estabelecer a persistência por meio de uma tarefa agendada, a DLL de 32 bits (“cmpbk32.dll”) pode executar um carregador multicamadas de segundo estágio, que é então descompactado para executar a carga útil final na memória.
A carga útil injetada, Spinner, é um backdoor anteriormente desconhecido que emprega técnicas avançadas como o achatamento do fluxo de controle para ocultar o fluxo do programa, que já foi identificado como sendo usado por Stone Panda e Mustang Panda em seus ataques.
Leia também: Funcionários do governo podem obter recibos de salário online com o PIFRA