Uma campanha direcionada contra organizações da Malásia usou um endpoint de armazenamento hospedado na Cloudflare para retirar arquivos de redes comprometidas sem chamar atenção de ferramentas tradicionais de monitoramento.
A operação atingiu múltiplas entidades governamentais malaias e ao menos uma empresa do setor privado.
A análise indica um ator organizado, com ferramentas próprias e scripts desenvolvidos sob medida para cada ambiente invadido.
O diferencial da campanha está no uso de serviços confiáveis para ocultar a exfiltração.
Em vez de enviar dados diretamente para servidores desconhecidos, os invasores encaminhavam arquivos roubados para um endpoint de armazenamento controlado por eles, mas hospedado na infraestrutura da Cloudflare.
A técnica reduz suspeitas porque conexões com provedores de nuvem populares costumam ser tratadas como tráfego normal.
Em empresas que não inspecionam saídas para domínios confiáveis, esse tipo de canal pode permanecer ativo por longos períodos.
O impacto observado foi significativo.
Credenciais de controladores de domínio foram roubadas, incluindo hives SAM, SECURITY e SYSTEM, além de um dump NTDS com hashes do Active Directory.
Webshells ativos também foram encontrados em pelo menos um servidor governamental.
A infraestrutura de apoio estava em uma máquina virtual Microsoft Azure na região Malaysia West.
O ambiente expôs diversos artefatos deixados pelos invasores, permitindo reconstruir parte da cadeia operacional usada contra os alvos.
