Hackers chineses invadiram empresa dos EUA e mantiveram acesso por meses
Empresa americana com operações na China foi hackeada no início do ano por um grupo APT chinês, que manteve acesso contínuo durante meses aos sistemas comprometidos.
Uma empresa dos EUA com operações na China foi hackeada no início deste ano, como dito pela empresa de segurança Symentec. Acredita-se que a empreitada foi cometida por hackers chineses, que mantiverem acesso à rede da empresa por pelo menos 4 meses, possivelmente coletando informações confidenciais.
As descobertas da Symantec indicam que os hackers mantiveram o acesso entre os dias 11 de abril de 2024 até agosto deste ano, embora o invasão inicial possa ter ocorrido antes. Durante esse tempo, os hackers se moveram lateralmente pela rede da empresa, tendo acesso à vários servidores, incluindo servidores Exchange (serviço de email da Microsoft).
Isso sugere que talvez o objetivo inicial seria o do roubar dados de e-mail para fins de coleta de informações. De acordo com a postagem do blog da Symantec, os hackers utilizaram um mix de softwares legítimos e ferramentas opensource para executar seus ataques.
Utilizaram uma técnica chamada de DLL-sideloading, em que um código malicioso é carregado com softwares legítimos, como a exploração de ferramentas do Google e da Apple para este fim.
Além disso, utilizaram o Impacket, um kit de ferramentas Python para manipulação de protocolo de rede e o FileZilla (cliente de FTP/SSH), dentre outras.
Ligação com grupos APT chineses
Mesmo que o grupo de hackers seja desconhecido, a Symantec acredita que os autores do ataque estejam intimamente ligados ao grupo Daggerfly (Daggerfly (também conhecido como BRONZE HIGHLAND, StormCloud e Evasive Panda) e ao Crimson Palace.
Essa alegação tem como base o uso repetido da técnica DLL-sideloading em ataques passados. O Daggerfly é bem conhecido por utilizar esta técnica. Além disso, um dos arquivos maliciosos encontrados em um sistema comprometido com o nome textinputhost.dat, também foi associado a outro grupo chinês, o Crimson Palace. Esse grupo recentemente virou notícia por ter como alvo governos do sul da Ásia e de ter roubado segredos militares sensíveis.
Stephen Kowski , especialista em segurança cibernética da SlashNext, disse ao site Hackread.com que esse ataque é parte de uma tendência preocupante. “Hackers estão usando métodos cada vez mais sofisticados para obter acesso de longo prazo às redes da empresa”, disse ele.
Ele enfatizou também a necessidade de uma forte segurança em sistemas de e-mails e o monitoramento contínuo para detectar estes tipos de ataques.
Créditos:
https://hackread.com/chinese-hackers-breach-us-firm-network-for-months/