A ESET Research descobriu um novo grupo APT alinhado com a China, o LongNosedGoblin, que abusa da Política de Grupo – um mecanismo para gerir configurações e permissões em máquinas Windows, normalmente usado com o Active Directory – para implantar malware e mover-se lateralmente pela rede comprometida. Ele é usado para implantar ferramentas de ciberespionagem em redes de instituições governamentais no Sudeste Asiático e no Japão.
Em 2024, os investigadores da ESET identificaram malware anteriormente não documentado na rede de uma entidade governamental do Sudeste Asiático. No entanto, o grupo está ativo pelo menos desde setembro de 2023. Em setembro deste ano, a ESET começou a observar uma renovada atividade do grupo na região. Ele implanta malware na rede comprometida e serviços em nuvem (por exemplo, Microsoft OneDrive e Google Drive) para comando e controlo (C&C).
O LongNosedGoblin tem várias ferramentas no seu arsenal. O NosyHistorian é uma aplicação C#/.NET que o grupo usa para recolher o histórico dos navegadores Google Chrome, Microsoft Edge e Mozilla Firefox, que são então usados para determinar onde implantar mais malware.
O NosyDoor recolhe metadados sobre a máquina da vítima, incluindo o nome da máquina, nome de utilizador, versão do sistema operativo e nome do processo atual, e envia tudo para o C&C. Em seguida, recupera e analisa ficheiros de tarefas com comandos do C&C. Os comandos permitem-lhe extrair e eliminar ficheiros e executar comandos shell, entre outras coisas.
O NosyStealer é utilizado para roubar dados dos navegadores Microsoft Edge e Google Chrome. O NosyDownloader executa uma cadeia de comandos ofuscados e descarrega e executa uma carga útil na memória. Entre outras ferramentas usadas pelo LongNosedGoblin, a ESET identificou um keylogger C#/.NET chamado NosyLogger, que parece ser uma versão modificada do keylogger de código aberto DuckSharp.
Entre outras ferramentas utilizadas pelo grupo, está um proxy SOCKS5 reverso e um executador de argumentos (uma ferramenta que executa uma aplicação passada como argumento) que foi utilizado para executar um gravador de vídeo, provavelmente FFmpeg, para capturar áudio e vídeo.
«Mais tarde, identificámos outro caso de uma variante do NosyDoor que tinha como alvo uma organização num país da UE, mais uma vez empregando técnicas diferentes e usando o serviço de nuvem Yandex Disk como servidor C&C. O uso dessa variante do NosyDoor sugere que o malware pode ser partilhado entre vários grupos de ameaças alinhados com a China», afirma o investigador da ESET Anton Cherepanov, que investigou o LongNosedGoblin com o colega da ESET Peter Strýček.
Detalhes técnicos: https://www.welivesecurity.com/en/eset-research/longnosedgoblin-tries-sniff-out-governmental-affairs-southeast-asia-japan/
