Palo Alto Networks divulga relatório sobre espionagem que mira ativistas dos direitos das minorias

0

Nos últimos sete meses a Unit 42, unidade de pesquisas da Palo Alto Networks, esteve investigando uma série de ataques atribuídos a um grupo apelidado de Scarlet Mimic. Os ataques começaram há quatro anos e seu padrão de direcionamento indica que o principal objetivo do grupo é reunir informações sobre ativistas dos direitos das minorias na China.

Não há evidências que liguem o Scarlet Mimic há fontes do governo, mas certamente trata-se de um grupo financiado e com muitos recursos, motivados por questões semelhantes às posições declaradas do governo chinês. A campanha leva este nome porque seu tráfego de comando e controle evitam a detecção ao imitar o Windows Messenger e o Yahoo Messenger, e seu ataque principal é feito com o FakeM,  um shellcode que explora uma backdoor do  Windows.

De acordo com a Palo Alto Networks, o FakeM vem evoluindo com a ajuda dos desenvolvedores do Scarlet Mimic. Os especialistas descobriram variantes FakeM que usam SSL para criptografar comunicações de comando e controle. Uma variante ainda usa um protocolo SSL personalizado que ignora a tradicional mensagem inicial (client hello message), na qual o cliente especifica a versão do protocolo SSL que deseja utilizar.

O Scarlet Mimic desenvolveu nove famílias diferentes de malware para entregar o FakeM e está ampliando seus ataques para mais plataformas. A Unit 42 descobriu também outras ferramentas compartilhando infraestrutura com FakeM – incluindo o trojan CallMe, desenvolvido para explorar Mac OSX; o Psylo, um downloader/uploader baseado em shellcode parecido com o FakeM, que compartilha infraestrutura com o MobileOrder, um trojan que compromete dispositivos Android. A conexão entre FakeM, Psylo, e MobileOrder sugere que o Scarlet Mimic está expandindo seus esforços de espionagem de PCs para dispositivos móveis, o que define uma grande mudança na tática.

O grupo utiliza o phishing direcionado, com uso intenso de documentos isca e ataques "watering holes" que funcionam como uma emboscada. Esses documentos incluem um press release do World Uyghur Congress, um gráfico comparando Vladimir Putin a Adolph Hitler, e um artigo do The New York Times sobre a apreensão das cinzas de um monge tibetano pela polícia chinesa.

DEIXE UMA RESPOSTA

Por favor digite seu comentário!
Por favor, digite seu nome aqui

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.