A nova ferramenta de ataque de rede Daxin tem um link chinês

Acredita-se que essa ferramenta esteja associada a atores chineses e provavelmente esteja em uso desde 2013.

A ferramenta de ataque à rede

A CISA e a Symantec encontraram o Daxin, a ferramenta de ataque de rede, desenvolvida especificamente para ataques em redes suficientemente seguras. Isso permite que os invasores entrem profundamente nas redes de destino e extraiam dados.

• É um backdoor de rootkit com funcionalidade C2 complexa e furtiva que permite que invasores remotos se comuniquem com dispositivos protegidos que não estão diretamente conectados à Internet.
• Os pesquisadores encontraram amostras que datam de 2013, e os recursos em versões recentes foram encontrados semelhantes a cortes mais antigos do código. Essas versões recentes estão vinculadas a agentes de ameaças vinculados à China.

Recursos de malware

O malware Daxin é capaz de realizar várias ações maliciosas.

• Ele cria um novo canal de comunicação em diferentes computadores infectados. Os invasores podem enviar uma única mensagem definindo qual nó eles desejam usar.
• A ferramenta encapsula pacotes de rede brutos transmitidos por meio de um adaptador de rede local. Ele rastreia os fluxos de rede para capturar e encaminhar quaisquer pacotes de resposta ao invasor remoto.
• Além disso, o Daxin implanta componentes de comunicação furtivos, um dos quais permite que um invasor remoto se comunique com os componentes desejados.

Comunicação com C2

A ferramenta se espalha sob o disfarce de um driver de kernel do Windows e funciona para sequestrar conexões TCP/IP legítimas.

• Ele monitora todo o tráfego TCP de entrada para padrões específicos, desconecta o destinatário genuíno e assume a conexão.
• Ele realiza uma troca de chave personalizada com o peer remoto, onde os dois lados seguem as etapas de suporte.
• Posteriormente, ele abre um canal de comunicação criptografado para receber comandos e enviar respostas.

Recentemente usado em um ataque

A Symantec afirma que a ferramenta foi usada pela última vez em novembro de 2021 por invasores associados à China. Além disso, o invasor visava infraestrutura crítica e entidades governamentais de interesse estratégico para a nação.

Conclusão

O Daxin possui um dos recursos mais complexos observados em campanhas de malware vinculadas à China. Há uma necessidade imediata de adotar uma abordagem dinâmica de segurança, juntamente com avaliações e atualizações contínuas nas medidas de segurança existentes. Sugere-se que as organizações façam uso de IOCs que podem ajudar na detecção de atividades maliciosas.

Fonte: https://cyware.com/