“A T-Mobile est\u00e1 monitorando de perto esse ataque em toda a ind\u00fastria e, neste momento, os sistemas e dados da T-Mobile n\u00e3o foram impactados de forma significativa, e n\u00e3o temos evid\u00eancias de impactos nas informa\u00e7\u00f5es dos clientes”, disse um porta-voz da empresa ao<\/a> The Wall Street Journal. “Continuaremos monitorando isso de perto, trabalhando com colegas da ind\u00fastria e as autoridades relevantes.”<\/p>\n\n\n\n Com o mais recente desenvolvimento, a T-Mobile se juntou a uma lista de grandes organiza\u00e7\u00f5es como AT&T, Verizon e Lumen Technologies que foram apontadas como parte do que parece ser uma campanha de espionagem cibern\u00e9tica em larga escala.<\/p>\n\n\n\n At\u00e9 agora, os relat\u00f3rios n\u00e3o mencionam o grau de sucesso desses ataques, se algum tipo de malware foi instalado ou que tipo de informa\u00e7\u00e3o eles buscavam. O acesso n\u00e3o autorizado do Salt Typhoon aos registros de dados celulares dos americanos foi divulgado<\/a> anteriormente pelo Politico.<\/p>\n\n\n\n Na semana passada, o governo dos EUA disse que<\/a> sua investiga\u00e7\u00e3o em andamento sobre o ataque \u00e0 infraestrutura de telecomunica\u00e7\u00f5es comerciais revelou um ataque “amplo e significativo” orquestrado pela Rep\u00fablica Popular da China (RPC).<\/p>\n\n\n\n “Atores afiliados \u00e0 RPC comprometeram redes em diversas empresas de telecomunica\u00e7\u00f5es para permitir o roubo de dados de registros de chamadas de clientes, o comprometimento de comunica\u00e7\u00f5es privadas de um n\u00famero limitado de indiv\u00edduos que est\u00e3o envolvidos principalmente em atividades governamentais ou pol\u00edticas e a c\u00f3pia de certas informa\u00e7\u00f5es que estavam sujeitas a solicita\u00e7\u00f5es de autoridades policiais dos EUA de acordo com ordens judiciais”, disse<\/a> .<\/p>\n\n\n\n Ele alertou ainda que a extens\u00e3o e o escopo desses comprometimentos podem aumentar \u00e0 medida que a investiga\u00e7\u00e3o continua.<\/p>\n\n\n\n Salt Typhoon<\/a> , tamb\u00e9m conhecido como Earth Estries, FamousSparrow, GhostEmperor e UNC2286, estaria ativo desde pelo menos 2020, de acordo com a Trend Micro. Em agosto de 2023, a equipe de espionagem foi vinculada<\/a> a uma s\u00e9rie de ataques direcionados a governos e ind\u00fastrias de tecnologia sediadas nas Filipinas, Taiwan, Mal\u00e1sia, \u00c1frica do Sul, Alemanha e EUA.<\/p>\n\n\n\n A an\u00e1lise mostra que os agentes de amea\u00e7as elaboraram metodicamente suas cargas \u00fateis e fizeram uso de uma combina\u00e7\u00e3o interessante de ferramentas e t\u00e9cnicas leg\u00edtimas e personalizadas para contornar as defesas e manter o acesso aos seus alvos.<\/p>\n\n\n\n “A Earth Estries mant\u00e9m a persist\u00eancia atualizando continuamente suas ferramentas e emprega backdoors para movimenta\u00e7\u00e3o lateral e roubo de credenciais”, disseram<\/a> os pesquisadores da Trend Micro Ted Lee, Leon M Chang e Lenart Bermejo em uma an\u00e1lise exaustiva publicada no in\u00edcio deste m\u00eas.<\/p>\n\n\n\n “A coleta e a exfiltra\u00e7\u00e3o de dados s\u00e3o realizadas usando o TrillClient, enquanto ferramentas como o cURL s\u00e3o usadas para enviar informa\u00e7\u00f5es para servi\u00e7os de compartilhamento de arquivos an\u00f4nimos, empregando proxies para ocultar o tr\u00e1fego de backdoor.”<\/p>\n\n\n\n A empresa de seguran\u00e7a cibern\u00e9tica disse que observou duas cadeias de ataque distintas empregadas pelo grupo, indicando que o tradecraft que o Salt Typhoon tem em seu arsenal \u00e9 amplo, pois \u00e9 variado. O acesso inicial \u00e0s redes alvo \u00e9 facilitado pela explora\u00e7\u00e3o de vulnerabilidades em servi\u00e7os voltados para o exterior ou utilit\u00e1rios de gerenciamento remoto.<\/p>\n\n\n\n Em um conjunto de ataques, o agente da amea\u00e7a foi encontrado aproveitando instala\u00e7\u00f5es vulner\u00e1veis \u200b\u200bou mal configuradas do QConvergeConsole para distribuir malware como o Cobalt Strike, um ladr\u00e3o personalizado baseado em Go chamado TrillClient<\/a> , e backdoors como HemiGate<\/a> e Crowdoor<\/a> , uma variante do SparrowDoor que j\u00e1 foi usada por outro grupo ligado \u00e0 China chamado Tropic Trooper<\/a> .<\/p>\n\n\n\n Algumas das outras t\u00e9cnicas incluem o uso do PSExec para instalar lateralmente seus backdoors e ferramentas, e do TrillClient para coletar credenciais de usu\u00e1rios de perfis de usu\u00e1rios de navegadores da web e exfiltr\u00e1-las para uma conta do Gmail controlada pelo invasor por meio do Protocolo Simples de Transfer\u00eancia de Correio (SMTP) para promover seus objetivos.<\/p>\n\n\n\n A segunda sequ\u00eancia de infec\u00e7\u00e3o, por outro lado, \u00e9 muito mais sofisticada, com os agentes da amea\u00e7a abusando de servidores Microsoft Exchange suscet\u00edveis para implantar o shell da web China Chopper<\/a> , que \u00e9 ent\u00e3o usado para entregar Cobalt Strike, Zingdoor<\/a> e Snappybee<\/a> (tamb\u00e9m conhecido como Deed RAT), um suposto sucessor do malware ShadowPad<\/a> .<\/p>\n\n\n\n “A entrega desses backdoors e ferramentas adicionais \u00e9 feita por meio de um servidor [de comando e controle] ou usando cURL para baix\u00e1-los de servidores controlados pelo invasor”, disseram os pesquisadores. “Essas instala\u00e7\u00f5es de backdoor tamb\u00e9m s\u00e3o substitu\u00eddas e atualizadas periodicamente.”<\/p>\n\n\n\n “A coleta de documentos de interesse \u00e9 feita via RAR e exfiltrada usando cURL, com os dados sendo enviados para servi\u00e7os de compartilhamento de arquivos anonimizados.”<\/p>\n\n\n\n Tamb\u00e9m s\u00e3o utilizados nos ataques programas como NinjaCopy para extrair credenciais e PortScan para descoberta e mapeamento de rede. A persist\u00eancia no host \u00e9 realizada por meio de tarefas agendadas.<\/p>\n\n\n\n Em um caso, acredita-se tamb\u00e9m que o Salt Typhoon tenha redirecionado o servidor proxy de uma v\u00edtima para encaminhar tr\u00e1fego para o servidor de comando e controle (C2) real, em uma tentativa de ocultar o tr\u00e1fego malicioso.<\/p>\n\n\n\n A Trend Micro observou que uma das m\u00e1quinas infectadas tamb\u00e9m abrigava dois backdoors adicionais chamados Cryptmerlin, que executa comandos adicionais emitidos por um servidor C2, e FuxosDoor, um implante do Internet Information Services (IIS) implantado em um Exchange Server comprometido e tamb\u00e9m projetado para executar comandos usando cmd.exe.<\/p>\n\n\n\n “Nossa an\u00e1lise dos TTPs persistentes da Earth Estries em opera\u00e7\u00f5es cibern\u00e9ticas prolongadas revela um agente de amea\u00e7a sofisticado e adapt\u00e1vel que emprega v\u00e1rias ferramentas e backdoors, demonstrando n\u00e3o apenas capacidades t\u00e9cnicas, mas tamb\u00e9m uma abordagem estrat\u00e9gica para manter o acesso e o controle em ambientes comprometidos”, disseram os pesquisadores.<\/p>\n\n\n\n “Ao longo de suas campanhas, a Earth Estries demonstrou um profundo entendimento de seus ambientes alvo, identificando continuamente camadas expostas para reentrada. Ao usar uma combina\u00e7\u00e3o de ferramentas estabelecidas e backdoors personalizados, eles criaram uma estrat\u00e9gia de ataque multicamadas que \u00e9 dif\u00edcil de detectar e mitigar.”<\/p>\n","protected":false},"excerpt":{"rendered":" A gigante das telecomunica\u00e7\u00f5es norte-americana T-Mobile confirmou que tamb\u00e9m estava entre as empresas que foram alvos de cibercriminosos chineses para obter acesso a informa\u00e7\u00f5es valiosas. Os advers\u00e1rios, rastreados como Salt Typhoon , invadiram a empresa como parte de uma “campanha de meses” projetada para coletar comunica\u00e7\u00f5es de celulares de “alvos de intelig\u00eancia de alto valor”. N\u00e3o est\u00e1 […]<\/p>\n","protected":false},"author":1,"featured_media":217,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"nf_dc_page":"","sfsi_plus_gutenberg_text_before_share":"","sfsi_plus_gutenberg_show_text_before_share":"","sfsi_plus_gutenberg_icon_type":"","sfsi_plus_gutenberg_icon_alignemt":"","sfsi_plus_gutenburg_max_per_row":"","footnotes":""},"categories":[7,1],"tags":[],"class_list":["post-216","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hackers","category-tecnologia"],"_links":{"self":[{"href":"https:\/\/oerlabs.com.br\/blog\/wp-json\/wp\/v2\/posts\/216","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/oerlabs.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/oerlabs.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/oerlabs.com.br\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/oerlabs.com.br\/blog\/wp-json\/wp\/v2\/comments?post=216"}],"version-history":[{"count":1,"href":"https:\/\/oerlabs.com.br\/blog\/wp-json\/wp\/v2\/posts\/216\/revisions"}],"predecessor-version":[{"id":218,"href":"https:\/\/oerlabs.com.br\/blog\/wp-json\/wp\/v2\/posts\/216\/revisions\/218"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/oerlabs.com.br\/blog\/wp-json\/wp\/v2\/media\/217"}],"wp:attachment":[{"href":"https:\/\/oerlabs.com.br\/blog\/wp-json\/wp\/v2\/media?parent=216"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/oerlabs.com.br\/blog\/wp-json\/wp\/v2\/categories?post=216"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/oerlabs.com.br\/blog\/wp-json\/wp\/v2\/tags?post=216"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}![\"Campanha](\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEghRvffi94iWB0bIhdb0eccsgPoosovrQVT4T3EJSV05SB-fGSbuko_bUgz1ishJRy6SLl0FQ8XwNl4hyphenhyphendgZLiscq0eoY9hpnc5-l0SbqVF6-UNVegOELIIi1bW9kwX9yimLAftwerfKn6XGUJwvED2kcZTq2Noop80QT6UZhCr_kwRrmqs_CzJ3ttYrPQQ\/s728-rw-e365\/fig1.png\" "\\"Campanha")
<\/a><\/figure>\n\n\n\n![\"Campanha](\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEgOlsX_gGypK8bbrG-3Muqwjp5uStcwlA3NdXWXRu3Now88uROUUmTyqyrp6E-rexZ5fpxjL0W2v2BZh0aQkCICiVcevx7QtrRLXdokIyaq_6ZsirzG-9viH6ZJMWRG0Xfb96Iq57cobsAjiQaLmndPFU2fMY14L7ujFgVBKGFtOoaD9hi3FzmpMaXGfV8-\/s728-rw-e365\/fig3.png\" "\\"Campanha")
<\/a><\/figure>\n\n\n\n