24 de abril de 2024

A nova ferramenta de ataque de rede Daxin tem um link chinês

4 de março de 2022

Foi identificada uma ferramenta de ataque de rede extremamente sofisticada que pode criar backdoors de forma invisível.

Acredita-se que essa ferramenta esteja associada a atores chineses e provavelmente esteja em uso desde 2013.

A ferramenta de ataque à rede 

CISA e a Symantec encontraram o Daxin, a ferramenta de ataque de rede, desenvolvida especificamente para ataques em redes suficientemente seguras. Isso permite que os invasores entrem profundamente nas redes de destino e extraiam dados.

  • É um backdoor de rootkit com funcionalidade C2 complexa e furtiva que permite que invasores remotos se comuniquem com dispositivos protegidos que não estão diretamente conectados à Internet.
  • Os pesquisadores encontraram amostras que datam de 2013, e os recursos em versões recentes foram encontrados semelhantes a cortes mais antigos do código. Essas versões recentes estão vinculadas a agentes de ameaças vinculados à China.

Recursos de malware

O malware Daxin é capaz de realizar várias ações maliciosas.

  • Ele cria um novo canal de comunicação em diferentes computadores infectados. Os invasores podem enviar uma única mensagem definindo qual nó eles desejam usar.
  • A ferramenta encapsula pacotes de rede brutos transmitidos por meio de um adaptador de rede local. Ele rastreia os fluxos de rede para capturar e encaminhar quaisquer pacotes de resposta ao invasor remoto.
  • Além disso, o Daxin implanta componentes de comunicação furtivos, um dos quais permite que um invasor remoto se comunique com os componentes desejados.

Comunicação com C2

A ferramenta se espalha sob o disfarce de um driver de kernel do Windows e funciona para sequestrar conexões TCP/IP legítimas.

  • Ele monitora todo o tráfego TCP de entrada para padrões específicos, desconecta o destinatário genuíno e assume a conexão.
  • Ele realiza uma troca de chave personalizada com o peer remoto, onde os dois lados seguem as etapas de suporte.
  • Posteriormente, ele abre um canal de comunicação criptografado para receber comandos e enviar respostas.

Recentemente usado em um ataque

A Symantec afirma que a ferramenta foi usada pela última vez em novembro de 2021 por invasores associados à China. Além disso, o invasor visava infraestrutura crítica e entidades governamentais de interesse estratégico para a nação.

Conclusão

O Daxin possui um dos recursos mais complexos observados em campanhas de malware vinculadas à China. Há uma necessidade imediata de adotar uma abordagem dinâmica de segurança, juntamente com avaliações e atualizações contínuas nas medidas de segurança existentes. Sugere-se que as organizações façam uso de IOCs que podem ajudar na detecção de atividades maliciosas.

Fonte: https://cyware.com/

Tags: , ,

Matérias Relacionadas

Estudo: Agente GPT-4 pode explorar vulnerabilidades não corrigidas

24 de abril de 2024

Comentários do GitHub são usados ​​para enviar malware por meio de repositório da Microsoft

23 de abril de 2024

Malware Androxgh0st compromete servidores em todo o mundo por ataque de botnet

23 de abril de 2024

Veja mais..

Criminosos colocam a venda bilhões de mensagens privadas de usuários do Discord

24 de abril de 2024

Estudo: Agente GPT-4 pode explorar vulnerabilidades não corrigidas

24 de abril de 2024

Siemens está trabalhando na correção de dispositivos afetados por bug do Firewall de Palo Alto

24 de abril de 2024

Vulnerabilidade de ‘confusão de dependência’ é encontrada no projeto Apache

23 de abril de 2024

Comentários do GitHub são usados ​​para enviar malware por meio de repositório da Microsoft

23 de abril de 2024