Especialistas da SEKOIA e da Trend Micro publicaram relatórios sobre a atividade do grupo de hackers chinês APT27 (também conhecido como Emissário Panda, Tigre de Ferro, e LuckyMouse) e disse que os hackers introduziram um backdoor no mensageiro MiMi.
Os invasores criaram uma versão maliciosa multiplataforma do mensageiro chinês MiMi (segredo, “segredo” em chinês), e usá-lo para atacar o Windows, Linux, e usuários do macOS.
Deixe-me lembrá-lo de que também escrevemos isso Hackers chineses usam ransomware como disfarce para espionagem, e também isso Hackers chineses usam Vulnerabilidade de dia 0 do Zimbra para hackear a mídia e as autoridades europeias.
Então, SEKOIA pesquisadores escrevem que MiMi para versão macOS 2.3.0 foi hackeado há quase quatro meses, em maio 26, 2022. O compromisso foi descoberto durante a análise da infra-estrutura do HiperBro trojan de acesso remoto associado a APT27: o malware entrou em contato com o aplicativo, o que parecia suspeito para os especialistas.
Tendência Micro analistas também notaram esta campanha (independentemente dos seus colegas) e agora relatam que identificaram versões antigas trojanizadas do MiMi direcionadas ao Linux (backdoor rshell) e janelas (RATO HyperBro).
Ao mesmo tempo, a amostra mais antiga de rshell para Linux é datada de junho 2021, e a primeira vítima desta campanha tornou-se conhecida em meados de julho 2021. No total, pelo menos 13 diferentes organizações em Taiwan e nas Filipinas foram atacadas, dos quais oito foram afetados por bombas.
Especialistas dizem que no caso do macOS, o código JavaScript malicioso injetado no MiMi verifica se o aplicativo está sendo executado no Mac e, em seguida, baixa e executa o backdoor rshell. Após o lançamento, o malware coleta e envia informações do sistema para seus operadores e aguarda novos comandos.
Os hackers podem usar o malware para listar arquivos e pastas e ler, escrever, e baixar arquivos em sistemas comprometidos. Além disso, o backdoor pode roubar dados e enviar arquivos específicos para seu servidor de controle.
De acordo com os especialistas, a ligação desta campanha com o APT27 é óbvia. Por isso, os cibercriminosos’ infraestrutura utiliza uma gama de endereços IP já conhecidos por especialistas em segurança da informação. Além disso, campanhas semelhantes já foram observadas antes. Por exemplo, um backdoor foi introduzido no Área de trabalho capaz mensageiro (Operação Tridente Furtivo), e o código malicioso foi empacotado usando o já conhecido ferramenta associado ao APT27.
Vale ressaltar que é impossível dizer que estamos discutindo um ataque à cadeia de abastecimento. O fato é que segundo a Trend Micro, hackers controlam os servidores que hospedam os instaladores MiMi, e especialistas sugerem que se trata de um compromisso de um mensageiro legítimo e não muito popular direcionado ao público chinês.
Por sua vez, Analistas da SEKOIA dizem que MiMi parece muito suspeito: o site associado ao mensageiro (www.mmimchat[.]com) não contém uma descrição detalhada do aplicativo, termos de uso e links para redes sociais. Verificação da legitimidade da empresa desenvolvedora Xiamen Baiquan Tecnologia da Informação Co.. Ltda. também falhou. Como resultado, Especialistas da SEKOIA escrevem que hackers poderiam ter desenvolvido o mensageiro, que é inicialmente uma ferramenta maliciosa para rastrear alvos específicos.”