Um grupo de ataque baseado na China lançou uma campanha direcionada contra empresas japonesas de navegação e transporte, explorando vulnerabilidades críticas no Ivanti Connect Secure (ICS).
A campanha, descoberta em abril de 2025, aproveita duas vulnerabilidades graves para obter acesso inicial às redes alvo e implantar múltiplas variantes de malware PlugX, incluindo os recém-identificados MetaRAT e Talisman PlugX.
A cadeia de ataque revela uma abordagem sofisticada onde os hackers primeiro comprometem os sistemas ICS usando as vulnerabilidades CVE-2024-21893 e CVE-2024-21887. Uma vez lá dentro, eles estabelecem uma posição instalando malware nos dispositivos visados.
O grupo invasor então realiza atividades de reconhecimento detalhadas para mapear o ambiente de rede e coletar credenciais dos sistemas comprometidos.
Usando credenciais roubadas, especialmente informações de contas privilegiadas do Active Directory, os invasores movem-se lateralmente pela infraestrutura de rede da organização alvo.
Visão geral da campanha de ataque (Fonte – LAC Watch)
Eles implantam sistematicamente variantes do PlugX em vários servidores internos para manter a persistência e expandir seu controle sobre o ambiente comprometido.
Este ataque em vários estágios demonstra planejamento e compreensão cuidadosos das estruturas de rede corporativa.
Os analistas de segurança da LAC Watch identificaram o malware após realizarem análises forenses nos sistemas Ivanti comprometidos.
Campanha de ataque
Eles descobriram logs de erros críticos com o código ERR31093, que aparecem quando o ICS processa cargas SAML inválidas relacionadas à exploração CVE-2024-21893.
Além disso, a execução da ferramenta Integrity Checker revelou arquivos suspeitos que correspondiam a assinaturas de malware conhecidas, incluindo LITTLELAMB, WOOLTEA, PITSOCK e PITFUEL, que haviam sido documentados anteriormente em ataques semelhantes.
MetaRAT representa uma nova evolução na família de trojans de acesso remoto PlugX. Esta variante existe pelo menos desde 2022, mas permaneceu sem nome até agora.
Fluxo de execução MetaRAT (Fonte – LAC Watch)
Pesquisadores de segurança confirmaram que o MetaRAT é executado por meio de carregamento lateral de DLL, uma técnica que aproveita processos legítimos do Windows para carregar código malicioso.
O componente carregador, denominado mytilus3.dll, carrega um arquivo shellcode criptografado chamado materoll, descriptografa-o usando operações XOR com um valor de chave 0xA6 e, em seguida, executa o shellcode decodificado na memória.
O shellcode executa descriptografia AES-256-ECB adicional na carga MetaRAT armazenada, que é então compactada com LZNT1.
Fluxo de execução do Talisman (Fonte – LAC Watch)
Uma vez descompactado na memória, o malware MetaRAT real começa a ser executado por meio de funções exportadas. Essa abordagem de criptografia e compactação em várias camadas torna a detecção significativamente mais difícil para as ferramentas de segurança.
MetaRAT implementa hashing de API para obter as funções necessárias da API do Windows e emprega mecanismos anti-depuração que detectam e destroem chaves de descriptografia quando um depurador está presente.
Detalhes da vulnerabilidade: –
CVE IDDescriçãoSeveridadeImpactMétodo de detecçãoCVE-2024-21893Desvio de autenticação no Ivanti Connect SecureCríticoProcessamento de carga útil SAML inválido levando à instalação de malwareERR31093 logs de erros críticos nos logs do sistemaCVE-2024-21887Execução remota de código no Ivanti Connect SecureCriticalAtiva intrusão inicial e implantação de malwareArquivos suspeitos criados (LITTLELAMB, WOOLTEA, PITSOCK, PITFUEL)
As organizações que usam versões afetadas do Ivanti Connect Secure devem aplicar imediatamente patches de segurança e monitorar seus sistemas em busca de sinais de comprometimento.
A presença de registros de serviços suspeitos, como “sihosts” ou chaves de registro denominadas “matesile”, pode indicar infecções ativas do MetaRAT.
Além disso, verificar arquivos de keylog chamados “VniFile.hlp” no diretório %ALLUSERSPROFILE%\mates\ pode ajudar a identificar os sistemas afetados.
Siga-nos no Google News, LinkedIn e X para obter mais atualizações instantâneas, defina CSN como fonte preferencial no Google.
