Hackers APT chineses usam proxy e serviço VPN para tornar infraestrutura anônima

 

Pesquisadores de segurança cibernética observaram um aumento nas campanhas direcionadas por um grupo chinês APT sofisticado, que está utilizando serviços comerciais de proxy e VPN para mascarar sua infraestrutura de ataque. Essa tática coincide com uma tendência mais ampla em direção a plataformas de anonimização commoditizadas que misturam o tráfego de atores maliciosos com a atividade de usuários legítimos. 

Os ataques começam com e-mails de spear-phishing contendo documentos maliciosos do Office e ataques waterhole que redirecionam vítimas para domínios hospedeiros de payloads. Uma vez estabelecido o acesso, os atacantes implantam um agente Trojan proxy leve que imita o tráfego padrão de HTTPS, usando um protocolo Trojan para burlar filtros de rede e o Grande Firewall da China. 

Essas campanhas tiveram um impacto significativo, com alvos de alto valor na Coreia do Sul e Taiwan relatando intrusões persistentes que resultaram na exfiltração de documentos proprietários e propriedade intelectual. A falta de inspeção adequada de TLS nas redes das vítimas permitiu que o tráfego do proxy Trojan passasse despercebido pelos sistemas de detecção de intrusões convencionais. 

O movimento lateral pós-comprometimento frequentemente utilizava ferramentas como PsExec da Sysinternals e scripts personalizados do PowerShell para automatizar a coleta de credenciais e facilitar a execução remota. 

A importância de monitorar tarefas agendadas anômalas e certificados TLS incomuns é crucial para detectar essas intrusões avançadas.

Fonte: https://cybersecuritynews.com/chinese-apt-hackers-using-proxy-and-vpn/