Hackers Ligados à China Usam Política de Grupo do Windows para Distribuir Malware de Espionagem

Um grupo de ameaças alinhado à China, até então desconhecido e apelidado de LongNosedGoblin, foi identificado como responsável por uma série de ataques cibernéticos direcionados a entidades governamentais no Sudeste Asiático e no Japão.

O objetivo final desses ataques é espionagem cibernética, conforme revelou a empresa eslovaca de segurança cibernética ESET em um relatório publicado hoje. A atividade do grupo está em curso desde, pelo menos, setembro de 2023.

“O LongNosedGoblin utiliza a Política de Grupo para implementar malware em toda a rede comprometida e serviços de nuvem (por exemplo, Microsoft OneDrive e Google Drive) como servidores de comando e controle (C&C)”, afirmaram os pesquisadores de segurança Anton Cherepanov e Peter Strýček.

A Política de Grupo é um mecanismo para gerenciar configurações e permissões em máquinas Windows. Segundo a Microsoft, ela pode ser usada para definir configurações para grupos de usuários e computadores cliente, bem como para gerenciar computadores servidor.

Os ataques são caracterizados pelo uso de um conjunto de ferramentas personalizadas e variadas, que consiste principalmente em aplicações C#/.NET:

NosyHistorian, para coletar o histórico de navegação do Google Chrome, Microsoft Edge e Mozilla Firefox.
NosyDoor, uma backdoor que utiliza o Microsoft OneDrive como C&C e executa comandos que permitem exfiltrar e deletar arquivos, além de executar comandos shell.
NosyStealer, para exfiltrar dados de navegação do Google Chrome e Microsoft Edge para o Google Drive, na forma de um arquivo TAR criptografado.
NosyDownloader, para baixar e executar um payload na memória, como o NosyLogger.
NosyLogger, uma versão modificada do DuckSharp usada para registrar as teclas digitadas (keylogging).

NosyDoor execution chain

A ESET informou que detectou pela primeira vez a atividade associada ao grupo de hackers em fevereiro de 2024, em um sistema de uma entidade governamental no Sudeste Asiático, e acabou descobrindo que a Política de Grupo estava sendo usada para entregar o malware a vários sistemas da mesma organização. Os métodos exatos de acesso inicial usados nos ataques são atualmente desconhecidos.

Análises adicionais determinaram que, embora muitas vítimas tenham sido afetadas pelo NosyHistorian entre janeiro e março de 2024, apenas um subconjunto dessas vítimas foi infectado pelo NosyDoor, indicando uma abordagem mais direcionada. Em alguns casos, o dropper usado para implantar o backdoor usando a injeção AppDomainManager continha “guardrails de execução” projetados para limitar a operação às máquinas de vítimas específicas.

O LongNosedGoblin também emprega outras ferramentas, como um proxy SOCKS5 reverso, um utilitário usado para executar um gravador de vídeo para capturar áudio e vídeo, e um carregador Cobalt Strike.

A empresa de segurança cibernética observou que as táticas do grupo de ameaças compartilham sobreposições tênues com os grupos rastreados como ToddyCat e Erudite Mogwai, mas enfatizou a falta de evidências definitivas que os liguem. Dito isto, as semelhanças entre o NosyDoor e o LuckyStrike Agent, e a presença da frase “Paid Version” no caminho PDB do LuckyStrike Agent levantaram a possibilidade de que o malware possa ser vendido ou licenciado para outros grupos de ameaças.

“Mais tarde, identificamos outra instância de uma variante do NosyDoor visando uma organização em um país da UE, mais uma vez empregando diferentes TTPs e usando o serviço de nuvem Yandex Disk como servidor C&C”, observaram os pesquisadores. “O uso desta variante do NosyDoor sugere que o malware pode ser compartilhado entre vários grupos de ameaças alinhados à China.”