O grupo de ciberameaças Earth Baku, com apoio da China, ampliou o alcance de seus ataques cibernéticos, estendendo suas operações da região Indo-Pacífico para Europa, Oriente Médio e África no final de 2022. A Itália, Alemanha, Emirados Árabes Unidos e Catar foram recentemente alvo desses ataques, contando com atividades suspeitas também na Geórgia e Romênia. Os setores afetados incluem governo, mídia, comunicações, telecomunicações, tecnologia, saúde e educação.
De acordo com a análise da Trend Micro feita por Ted Lee e Theo Chen, o Earth Baku aprimorou suas ferramentas, táticas e procedimentos em campanhas recentes, lançando ataques por meio de aplicativos públicos, incluindo servidores IIS, e implantando um conjunto sofisticado de malware no ambiente das vítimas.
Pesquisas anteriores da Zscaler e da Mandiant, esta última pertencente ao Google, mencionaram o uso de malwares como DodgeBox (DUSTPAN) e MoonWalk (DUSTTRAP) por esse agente de ameaça. Trend Micro renomeou-os para StealthReacher e SneakCross, respectivamente.
O agente da ameaça, associado ao APT41, utiliza o StealthVector desde outubro de 2020 para explorar aplicativos e instalar um shell da web chamado Godzilla, que facilita a entrega de cargas maliciosas. O StealthReacher é uma versão evoluída do backdoor carga “StealthVector”. Ele é responsável por lançar o SneakCross, um implante modular sucessor do ScrambleCross, que utiliza os serviços do Google para comunicações de comando e controle.
Além disso, o Earth Baku emprega outras ferramentas pós-exploração, como iox, Rakshasa e o serviço VPN Tailscale. Eles realizam a exfiltração de dados sensíveis para o armazenamento em nuvem MEGA por meio do MEGAcmd, uma utilidade de linha de comando.
Para continuar bem informado sobre cibersegurança e outros assuntos relevantes, siga-nos no Twitter e LinkedIn, além de acompanhar o TecMania.
