Categories: AMEAÇAS ATUAISRELATÓRIOS E TENDÊNCIAS

A nova ferramenta de ataque de rede Daxin tem um link chinês

Acredita-se que essa ferramenta esteja associada a atores chineses e provavelmente esteja em uso desde 2013.

A ferramenta de ataque à rede

A CISA e a Symantec encontraram o Daxin, a ferramenta de ataque de rede, desenvolvida especificamente para ataques em redes suficientemente seguras. Isso permite que os invasores entrem profundamente nas redes de destino e extraiam dados.

É um backdoor de rootkit com funcionalidade C2 complexa e furtiva que permite que invasores remotos se comuniquem com dispositivos protegidos que não estão diretamente conectados à Internet.
Os pesquisadores encontraram amostras que datam de 2013, e os recursos em versões recentes foram encontrados semelhantes a cortes mais antigos do código. Essas versões recentes estão vinculadas a agentes de ameaças vinculados à China.

Recursos de malware

O malware Daxin é capaz de realizar várias ações maliciosas.

Ele cria um novo canal de comunicação em diferentes computadores infectados. Os invasores podem enviar uma única mensagem definindo qual nó eles desejam usar.
A ferramenta encapsula pacotes de rede brutos transmitidos por meio de um adaptador de rede local. Ele rastreia os fluxos de rede para capturar e encaminhar quaisquer pacotes de resposta ao invasor remoto.
Além disso, o Daxin implanta componentes de comunicação furtivos, um dos quais permite que um invasor remoto se comunique com os componentes desejados.

Comunicação com C2

A ferramenta se espalha sob o disfarce de um driver de kernel do Windows e funciona para sequestrar conexões TCP/IP legítimas.

Ele monitora todo o tráfego TCP de entrada para padrões específicos, desconecta o destinatário genuíno e assume a conexão.
Ele realiza uma troca de chave personalizada com o peer remoto, onde os dois lados seguem as etapas de suporte.
Posteriormente, ele abre um canal de comunicação criptografado para receber comandos e enviar respostas.

Recentemente usado em um ataque

A Symantec afirma que a ferramenta foi usada pela última vez em novembro de 2021 por invasores associados à China. Além disso, o invasor visava infraestrutura crítica e entidades governamentais de interesse estratégico para a nação.

Conclusão

O Daxin possui um dos recursos mais complexos observados em campanhas de malware vinculadas à China. Há uma necessidade imediata de adotar uma abordagem dinâmica de segurança, juntamente com avaliações e atualizações contínuas nas medidas de segurança existentes. Sugere-se que as organizações façam uso de IOCs que podem ajudar na detecção de atividades maliciosas.

Fonte: https://cyware.com/

Ninja

Na cena de cybersecurity a mais de 25 anos, Ninja trabalha como evangelizador de segurança da informação no Brasil. Preocupado com a conscientização de segurança cibernética, a ideia inicial é conseguir expor um pouco para o publico Brasileiro do que acontece no mundo.