- Trend Micro descobre um novo backdoor chamado GhostSpider
- Ele pode exfiltrar dados confidenciais e interferir no sistema operacional
- Foi usado por um ator de ameaça patrocinado pelo Estado chinês conhecido como Salt Typhoon
O infame ator de ameaças patrocinado pelo estado chinês, Salt Typhoon, foi visto usando um novo malware de backdoor para atingir provedores de serviços de telecomunicações.
Um relatório dos profissionais de segurança cibernética da Trend Micro analisou o backdoor, chamado GhostSpider, observando que ele é usado em operações de espionagem cibernética de longo prazo, e seus principais mecanismos furtivos incluem permanecer exclusivamente na memória e criptografar sua comunicação com o servidor C2.
O GhostSpider é capaz de fazer várias coisas, incluindo enviar módulos maliciosos para a memória, ativar o módulo inicializando os recursos necessários, executar a função do carregador primário (exfiltração de dados ou adulteração do sistema) e fechar o módulo para liberar memória e permanecer fora de vista. . Finalmente, pode ajustar seu comportamento para evitar ser detectado, mantendo comunicação periódica com o servidor C2.
Abusando de falhas de endpoint
O Washington Post observou que as autoridades dos EUA notificaram recentemente 150 vítimas, a maioria das quais na área de DC, que o Salt Typhoon estava a escutar as suas comunicações.
No seu relatório, a Trend Micro acrescentou que, além das telecomunicações, os chineses visam entidades governamentais, tecnologia, consultoria, produtos químicos e setores de transportes nos EUA, Ásia-Pacífico, Médio Oriente, África do Sul e outras regiões. Para violar os sistemas, o Salt Typhoon exploraria uma série de falhas em diferentes endpoints, incluindo bugs no Connect Secure VPN da Ivant, no FortiClient EMS da Fortinet, no Firewall da Sophos e outros.
Enquanto o GhostSpider ganhou todos os holofotes, o Salt Typhoon também foi flagrado usando outras variantes nunca vistas antes, incluindo um backdoor Linux chamado Masol RAT, um rootkit chamado Demodex e um backdoor chamado SnappyBee.
Conhecido como um dos atores de ameaças mais perigosos, o Salt Typhoon concentra-se principalmente na exfiltração e vigilância de dados, muitas vezes visando agências governamentais, figuras políticas e indústrias-chave nos EUA e em países aliados. Algumas de suas vítimas notáveis incluem grandes provedores de telecomunicações dos EUA, como T-Mobile, AT&T, Verizon e Lumen Technologies.
Através BipandoComputador