Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Malware Campanha de Espionagem dos Menshen Vermelhos

Campanha de Espionagem dos Menshen Vermelhos

Por Mezo em Malware, Ameaça Persistente Avançada (APT)
Traduzir Para:

Uma campanha persistente e altamente estratégica de ciberespionagem, ligada a um grupo de ameaças alinhado à China, conseguiu infiltrar-se em redes de telecomunicações. O objetivo principal é monitorar e infiltrar infraestruturas governamentais, utilizando ambientes de telecomunicações como porta de entrada.

Essa operação de longa duração é atribuída ao grupo de ameaças conhecido como Red Menshen, também rastreado sob os pseudônimos Earth Bluecrow, DecisiveArchitect e Red Dev 18. Desde pelo menos 2021, o grupo tem como alvo consistente provedores de telecomunicações no Oriente Médio e na Ásia, estabelecendo acesso profundo e secreto a sistemas críticos.

Células adormecidas digitais: técnicas avançadas de persistência

Pesquisadores de segurança descreveram os mecanismos de acesso usados nesta campanha como alguns dos mais secretos já observados em redes de telecomunicações. Essas técnicas funcionam como células adormecidas digitais, permanecendo dormentes e indetectáveis até serem ativadas.

Os atacantes se baseiam em uma combinação de ferramentas e técnicas altamente avançadas, incluindo:

  • Implantes em nível de kernel que operam profundamente dentro do sistema operacional.
  • Backdoors passivos que evitam os métodos tradicionais de detecção
  • Utilitários para coleta de credenciais para obter dados de acesso confidenciais.
  • Estruturas de comando e controle multiplataforma que permitem operações flexíveis.

Essas capacidades permitem que o agente da ameaça mantenha a persistência a longo prazo, minimizando a atividade detectável.

BPFDoor: A porta dos fundos invisível no kernel

No centro desta campanha estáo BPFDoor , um backdoor baseado em Linux que exemplifica furtividade e sofisticação. Ao contrário dos malwares tradicionais, este implante evita criar indicadores de rede detectáveis.

Em vez de abrir portas ou manter canais de comunicação visíveis, o BPFDoor explora a funcionalidade do Berkeley Packet Filter (BPF) dentro do kernel do Linux. Ele inspeciona o tráfego de rede internamente e só é ativado quando recebe um pacote "mágico" especialmente criado.

Este projeto elimina a necessidade de listeners persistentes ou atividades de beacon, incorporando efetivamente um mecanismo de acesso oculto diretamente no sistema operacional. O resultado é um ponto de entrada virtualmente invisível, extremamente difícil de detectar por meio de ferramentas de monitoramento convencionais.

Compromisso inicial: explorando a infraestrutura de borda.

A cadeia de ataque normalmente começa visando sistemas voltados para a internet e dispositivos de borda. Isso inclui gateways VPN, firewalls e serviços expostos à web, particularmente aqueles associados a tecnologias corporativas importantes.

Uma vez obtido o acesso inicial, os atacantes implantam um conjunto de ferramentas de pós-exploração para expandir seu controle. Essas ferramentas incluem frameworks como o CrossC2, além de Sliver, TinyShell, keyloggers e utilitários de força bruta. Juntas, essas ferramentas permitem a coleta de credenciais, o reconhecimento interno e a movimentação lateral em ambientes comprometidos.

Arquitetura de dois componentes: controle e ativação

O BPFDoor opera através de uma arquitetura de duas partes projetada para precisão e discrição. Um componente reside no sistema comprometido, monitorando passivamente o tráfego de entrada em busca de um pacote de ativação predefinido. Ao ser detectado, ele se ativa abrindo um shell remoto.

O segundo componente é um controlador operado pelo atacante. Esse controlador envia pacotes especialmente criados para ativar implantes e também pode funcionar dentro do ambiente da vítima. Quando implantado internamente, ele pode se disfarçar de processos legítimos do sistema, coordenar infecções adicionais e facilitar a movimentação lateral controlada entre sistemas.

Vigilância em nível de telecomunicações: além das tradicionais portas traseiras

Certas variantes do BPFDoor demonstram capacidades que vão além da funcionalidade padrão de backdoor. O suporte ao Protocolo de Transmissão de Controle de Fluxo (SCTP) permite o monitoramento de comunicações específicas de telecomunicações.

Essa capacidade permite que invasores obtenham informações sobre a atividade dos assinantes, rastreiem o comportamento do usuário e, potencialmente, determinem a localização física de indivíduos de interesse. Como resultado, o BPFDoor funciona efetivamente como uma camada de vigilância incorporada à infraestrutura de telecomunicações, fornecendo visibilidade de longo prazo e com baixo ruído sobre operações sensíveis.

Evasão reinventada: novas variantes e melhorias de furtividade.

Uma variante recém-identificada da BPFDoor introduz melhorias arquitetônicas projetadas para aumentar a resistência a arrombamentos e a durabilidade. Os principais avanços incluem:

  • Ocultar pacotes de gatilho em tráfego HTTPS aparentemente legítimo
  • Impor um marcador de deslocamento de byte fixo ('9999') para detecção de ativação confiável.
  • Apresentando a comunicação baseada em ICMP entre hospedeiros infectados para interação discreta.

Essas técnicas permitem que o tráfego malicioso se misture perfeitamente com a atividade normal da rede, reduzindo significativamente a probabilidade de detecção, ao mesmo tempo que mantém a execução confiável de comandos.

Evolução das Técnicas de Combate: Uma Análise Mais Detalhada da Pilha de Operações

A campanha destaca uma mudança mais ampla na metodologia dos atacantes. Em vez de dependerem exclusivamente de malware no espaço do usuário, os adversários estão cada vez mais incorporando implantes mais profundamente na pilha de computação, particularmente nos níveis do kernel e da infraestrutura.

Os ambientes de telecomunicações são alvos especialmente atraentes devido à sua complexidade, que inclui sistemas bare-metal, camadas de virtualização, hardware de rede de alto desempenho e componentes centrais 4G/5G em contêineres. Ao se integrarem a serviços legítimos e ambientes de execução, esses implantes podem burlar as defesas tradicionais de endpoints e permanecer indetectáveis por longos períodos.

Conclusão: Uma Nova Fronteira na Espionagem Cibernética

Esta campanha demonstra uma evolução significativa nas táticas de ciberespionagem. Ao explorar a infraestrutura de telecomunicações e mecanismos de ocultação em nível de kernel, os atacantes conseguem acesso de longo prazo e baixa visibilidade a ambientes altamente sensíveis.

O uso de ferramentas avançadas como o BPFDoor, combinado com técnicas inovadoras de evasão e profunda integração de sistemas, representa um desafio crescente para os defensores. Detectar e mitigar essas ameaças exige maior visibilidade das camadas mais baixas da pilha de computação e uma reformulação das abordagens de segurança tradicionais.

Tendendo

Mais visto

Carregando...