Hacking : Rapporto Kaspersky Q1 2021 Sulle Minacce dei Gruppi APT Alle Infrastrutture Pubbliche e Ai Privati
Last updated on December 25th, 2022 at 10:09 am
_χρόνος διαβασματός : [ 19 ] minutes
Gruppi Hacker Advanced Persistent Threat. Gruppi Hacker Segreti sponsorizzati dai Governi Americani, Cinesi, Russi, Nord Koreani, Iraniani, Israeliani, Sauditi, Iraniani, etc. Il rapporto APT-Q1, primo trimestre 2021 dei russi di Kaspersky Lab. E le nostre osservazioni.
Authored by Kaspersky Authors Via Securelist
A dicembre, SolarWinds, un noto fornitore di servizi IT gestiti, è stata vittima di un sofisticato attacco alla catena di approvvigionamento. Orion IT dell’azienda, una soluzione per il monitoraggio e la gestione dell’infrastruttura IT dei clienti, è stata compromessa. Ciò ha portato all’implementazione di una backdoor personalizzata, denominata Sunburst, sulle reti di oltre 18.000 clienti SolarWinds, comprese molte grandi aziende ed enti governativi, in Nord America, Europa, Medio Oriente e Asia. Nel nostro rapporto iniziale su Sunburst , abbiamo esaminato il metodo utilizzato dal malware per comunicare con il suo server C2 (comando e controllo) e il protocollo utilizzato per aggiornare le vittime per un ulteriore sfruttamento. Ulteriori indagini sulla backdoor Sunburst hanno rivelato diverse caratteristiche che si sovrappongono a una backdoor precedentemente identificata nota come Kazuar, una backdoor .NET segnalata per la prima volta nel 2017 e provvisoriamente collegata al gruppo Turla APT.
I servizi segreti Estoni hanno linkato l’APT Turla ai Russi, ai servizi segreti russi, l’FSB, ma non una vera prova è stata mai posata su un tavolo, e anche se sapessi che sono veramente i russi, beh non ve lo direi.
Le funzionalità condivise tra Sunburst e Kazuar includono l’algoritmo di generazione dell’UID della vittima, le somiglianze del codice nell’algoritmo del sonno iniziale e l’ampio utilizzo dell’hash FNV1a per offuscare i confronti delle stringhe. Ci sono diverse possibilità: Sunburst potrebbe essere stato sviluppato dallo stesso gruppo di Kazuar; gli sviluppatori di Sunburst potrebbero aver adottato alcune idee o codice da Kazuar; entrambi i gruppi hanno ottenuto il malware dalla stessa fonte; alcuni sviluppatori Kazuar si sono trasferiti in un altro team, portando con sé conoscenze e strumenti; o gli sviluppatori di Sunburst hanno introdotto questi collegamenti come una forma di false flag. Si spera che ulteriori analisi rendano le cose più chiare.
Si spera.
Il 2 marzo, Microsoft ha segnalato un nuovo attore APT di nome HAFNIUM, che sfrutta quattro 0 Day in Exchange Server in quelli che hanno chiamato “attacchi limitati e mirati”. A quel tempo, Microsoft affermò che, oltre ad HAFNIUM, anche molti altri attori li stavano sfruttando. Parallelamente, Volexity ha anche riferito che lo stesso Exchange zero-days era in uso all’inizio del 2021. Secondo la telemetria di Volexity, alcuni degli exploit in uso sono condivisi tra diversi attori, oltre a quello che Microsoft designa come HAFNIUM. La telemetria di Kaspersky ha rivelato un picco nei tentativi di sfruttamento di queste vulnerabilità a seguito della divulgazione pubblica e della patch di Microsoft. Durante la prima settimana di marzo, abbiamo identificato circa 1.400 server unici che erano stati presi di mira, in cui una o più di queste vulnerabilità sono state utilizzate per ottenere l’accesso iniziale.Prima dei post, il 28 febbraio, abbiamo identificato lo sfruttamento correlato su meno di una dozzina di sistemi Exchange; abbiamo anche trovato più di una dozzina di artefatti di Exchange che indicano uno sfruttamento caricato su servizi multi-scanner. Secondo la nostra telemetria, la maggior parte dei tentativi di sfruttamento è stata osservata per i server in Europa e negli Stati Uniti. Alcuni server sono stati presi di mira più volte da quelli che sembrano essere diversi attori delle minacce (in base ai modelli di esecuzione dei comandi), suggerendo che gli exploit sono ora disponibili per più gruppi.Alcuni server sono stati presi di mira più volte da quelli che sembrano essere diversi attori delle minacce (in base ai modelli di esecuzione dei comandi), suggerendo che gli exploit sono ora disponibili per più gruppi.Alcuni server sono stati presi di mira più volte da quelli che sembrano essere diversi attori delle minacce (in base ai modelli di esecuzione dei comandi), suggerendo che gli exploit sono ora disponibili per più gruppi.
Abbiamo anche scoperto una campagna attiva da metà marzo rivolta a entità governative nella Federazione Russa, utilizzando i summenzionati exploit zero-day di Exchange. Questa campagna si è avvalsa di una famiglia di malware precedentemente sconosciuta che abbiamo soprannominato FourteenHi. Ulteriori indagini hanno rivelato tracce di attività che coinvolgono varianti di questo malware risalenti a un anno fa. Abbiamo anche riscontrato alcune sovrapposizioni in questi set di attività con HAFNIUM in termini di infrastruttura e TTP, nonché l’uso del malware ShadowPad nello stesso periodo di tempo.
L’unica considerazione che fornisco in merito al paragrafo quotato precedente è che le strutture pubbliche occidentali si basano in prevalent emaggioranza su software Microsoft, preso costantemente di mira da sempre, dato che se tutti lo usano allora attaccarlo diventa più remunerativo. Non è quindi solo una questione di debolezza del codice ma di intrinseca opportunità nell’attacco a questi server su cui poggiano servizi pubblici e privati enormi.
Parlano di Recovery Fund tutto il tempo, di soldi stanziati per opere, per fare questo e fare quello ma non parlano di cambiare mentalità nel mondo del lavoro, creare una nuova classe di operai, dei veri informatici, in grado di espandere i programmi open source nel settore pubblico, per bilanciare il mercato, aprirlo, rendendo così non più opportunistica l’azione dei malintenzionati che sfruttano invece l’obsoleta imbecillità dei di Draghi&Company e dei loro sottoposti in tutta Europa…
Europa
Durante il monitoraggio di routine dei rilevamenti per gli strumenti spyware FinFisher, abbiamo scoperto tracce che puntano a recenti implementazioni Web di FinFly. In particolare, abbiamo scoperto due server con applicazioni web che sospettiamo, con grande sicurezza, siano state generate utilizzando FinFly Web. FinFly Web è, in sostanza, una suite di strumenti e pacchetti che implementano un server di sfruttamento basato sul web. È stato documentato pubblicamente per la prima volta nel 2014, all’indomani dell’incidente di hacking del Gamma Group.
L’Italia è all’ultimo posto per la libertà di stampa, non perchè quattro teppisti minacciano dei reporter avvoltoi sulle scene, o perchè lo fa la Seconda Carica dello Stato, ma perchè il giornalismo in Italia è tenuto al guinzaglio dalla Magistratura, riverenza del potere. Esistono dissidenti scrittori in Italia che vengono controllati dalle Forze dell’Ordine, servizi segreti compresi, anche mediante l’uso di software spia: uno degli esemplari capostipiti fu sicuramente FinSpy, o Finfisher della Gamma Group
Wiki:
FinFisher, noto anche come FinSpy, [1] è un software di sorveglianza commercializzato da Lench IT Solutions plc, che commercializza lo spyware attraverso i canali delle forze dell’ordine. [1]
FinFisher può essere installato di nascosto sui computer dei bersagli sfruttando le lacune di sicurezza nelle procedure di aggiornamento del software non sospetto. [2] [3] [4] L’azienda è stata criticata dalle organizzazioni per i diritti umani per aver venduto queste capacità a stati repressivi o non democratici noti per il monitoraggio e l’incarcerazione di dissidenti politici. [5] I dissidenti egiziani che hanno saccheggiato gli uffici della polizia segreta egiziana in seguito al rovesciamento del presidente egiziano Hosni Mubarak hanno riferito di aver scoperto un contratto con Gamma International per 287.000 euro per una licenza per eseguire il software FinFisher. [6] Nel 2014, un cittadino americano ha citato in giudizio il governo etiope per aver installato di nascosto FinSpy sul suo computer in America e averlo utilizzato per intercettare le sue chiamate private su Skype e monitorare ogni uso del computer da parte della sua famiglia per un periodo di mesi. [7] [8]
Lench IT Solutions plc ha una filiale con sede nel Regno Unito, Gamma International Ltd ad Andover, in Inghilterra, e una filiale con sede in Germania, Gamma International GmbH a Monaco di Baviera. [9] [10] Gamma International è una filiale del Gamma Group, specializzata in sorveglianza e monitoraggio, comprese apparecchiature, software e servizi di formazione. [9] Secondo quanto riferito, era di proprietà di William Louthean Nelson tramite una società di comodo nelle Isole Vergini britanniche. La società di comodo è stata firmata da un direttore designato al fine di nascondere l’identità del beneficiario finale, che era Nelson, un sistema comune per le società stabilite offshore. [11]
Il 6 agosto 2014, il codice sorgente di FinFisher, i prezzi, la cronologia del supporto e altri dati correlati sono stati recuperati dalla rete interna di Gamma International e resi disponibili su Internet. [12]
O come non ricordare la società software milanese Hacking Team? Con il loro software hanno aiutato a far catturare, torturare, ed uccidere dissidenti in Medio Oriente e in Africa, ad esempio.
Uno dei sospetti server Web FinFly è stato attivo per più di un anno tra ottobre 2019 e dicembre 2020. Questo server è stato disabilitato un giorno dopo la nostra scoperta lo scorso dicembre. Tuttavia, siamo stati in grado di acquisire una copia della sua pagina di destinazione, che includeva JavaScript utilizzato per profilare le vittime utilizzando quello che sembra essere un codice precedentemente sconosciuto. Nel secondo caso il server che ospita FinFly Web era già offline al momento della scoperta, quindi abbiamo tratto le nostre conclusioni utilizzando i dati storici disponibili. Come si è scoperto, è stato attivo per un periodo molto breve intorno a settembre 2020 su un host che sembra aver impersonato il popolare servizio Mail.ru. Sorprendentemente, questo server ha iniziato di nuovo a rispondere alle domande il 12 gennaio. Finora, non abbiamo visto alcun payload correlato cadere da queste pagine web.
Attività di lingua russa
Kazuar è una backdoor .NET solitamente associata all’attore di minacce Turla (noto anche come Snake e Uroboros). Recentemente, Kazuar ha ricevuto un rinnovato interesse a causa delle sue somiglianze con la backdoor Sunburst. Sebbene le capacità di Kazuar siano già state esposte nella ricerca pubblica, molti fatti interessanti su questa backdoor non sono stati resi pubblici. I nostri ultimi rapporti si concentrano sulle modifiche apportate dall’attore delle minacce alle versioni di settembre e novembre della sua backdoor.
Il 24 febbraio, il Consiglio di difesa della sicurezza nazionale dell’Ucraina (NSDC) ha pubblicamente avvertito che un attore di minacce aveva sfruttato un sistema di circolazione dei documenti nazionali (SEI EB) per distribuire documenti dannosi alle autorità pubbliche ucraine. L’avviso conteneva alcuni IoC di rete correlati e specificava che i documenti utilizzavano macro dannose per rilasciare un impianto su sistemi mirati. Grazie agli IoC condivisi, siamo stati in grado di attribuire questo attacco, con grande sicurezza, all’attore della minaccia Gamaredon. L’IP del server dannoso menzionato dall’NSDC è noto a Kaspersky da febbraio come infrastruttura Gamaredon.
IoC : Indicator of Compromise, cioè il rivenimento di un software estraneo, quindi intruso, all’interno di reti, o computer singoli.
Il 27 gennaio, l’agenzia nazionale francese per la sicurezza informatica (ANSSI) ha pubblicato un rapporto che descrive una campagna di attacco che ha preso di mira sistemi Centreon pubblicamente esposti e obsoleti tra il 2017 e il 2020, al fine di implementare webshell Fobushell (alias PAS) e impianti Exaramel. L’ANSSI ha associato la campagna al set antintrusione Sandworm, che chiamiamo Ade. Sebbene abbiamo cercato in modo specifico ulteriori sistemi Centreon compromessi, campioni di impianti Exaramel o infrastrutture associate, non siamo stati in grado di recuperare alcun artefatto utile da cui avviare un’indagine completa. Tuttavia, abbiamo identificato tre server Centreon in cui era stata distribuita una webshell Fobushell. Uno di questi campioni Fobushell era identico a un altro precedentemente identificato su un server Zebrocy C2.
Si, Gamaredon, lo stiamo tenendo sotto controllo negli ultimi mesi. E’ interessante.
Attività di lingua cinese
Abbiamo scoperto una serie di attività dannose, che abbiamo chiamato EdwardsPheasant, che prendono di mira principalmente organizzazioni governative in Vietnam da giugno 2020. Gli aggressori sfruttano backdoor e loader precedentemente sconosciuti e offuscati. Le attività hanno raggiunto il picco nel novembre 2020, ma sono ancora in corso. L’attore della minaccia associato continua a sfruttare i suoi strumenti e le sue tattiche (descritte nel nostro rapporto privato) per compromettere gli obiettivi o mantenere l’accesso alle loro reti. Anche se abbiamo potuto identificare somiglianze con gli strumenti e le tattiche associate a Cycldek (alias Goblin Panda) e Lucky Mouse (alias Emissary Panda), non siamo stati in grado di attribuire questo insieme di attività a nessuno dei due in modo definitivo.
Abbiamo studiato una campagna di spionaggio di lunga durata, denominata A41 APT, rivolta a più settori, tra cui l’industria manifatturiera giapponese e le sue basi all’estero, attiva da marzo 2019. Gli aggressori hanno utilizzato le vulnerabilità in un prodotto SSL-VPN per implementare un loader abbiamo soprannominato Ecipekac (aka DESLoader, SigLoader e HEAVYHAND). Attribuiamo questa attività all’APT10 con elevata confidenza. La maggior parte dei payload rilevati distribuiti da questo caricatore sono privi di file e non sono stati visti prima. Abbiamo osservato SodaMaster (aka DelfsCake, dfls e DARKTOWN), P8RAT (aka GreetCake e HEAVYPOT) e FYAnti (aka DILLJUICE Stage 2) che a sua volta carica QuasarRAT. A novembre e dicembre 2020, sono stati pubblicati due post di blog pubblici su questa campagna. Un mese dopo,abbiamo osservato nuove attività dell’attore con una versione aggiornata di alcuni dei loro impianti progettati per eludere i prodotti di sicurezza e rendere l’analisi più difficile per i ricercatori. Puoi leggere di più nella nostra relazione pubblica.
Gli APT Cinesi sono i primi gruppi capostipiti del settore. Da quello che abbiamo avuto modo di osservare agiscono solo in funzione di rappresaglia, furto di dati e monitoraggio di agenzie governative e di sicurezza.
Medio Oriente
Di recente ci siamo imbattuti in artefatti dannosi precedentemente sconosciuti che abbiamo attribuito al gruppo di minacce Lyceum / Hexane, dimostrando che gli aggressori dietro di esso sono ancora attivi e hanno sviluppato il loro set di strumenti durante l’ultimo anno. Sebbene Lyceum preferisca ancora sfruttare il tunneling DNS, sembra che abbia sostituito il payload .NET precedentemente documentato con una nuova backdoor C ++ e uno script PowerShell che hanno lo stesso scopo. La nostra telemetria ha rivelato che gli ultimi sforzi del gruppo di minaccia sono concentrati sull’inseguimento di entità all’interno di un paese: la Tunisia. Le vittime che abbiamo osservato erano tutte organizzazioni tunisine di alto profilo, come le società di telecomunicazioni o di aviazione. Sulla base dei settori target,presumiamo che gli aggressori possano essere stati interessati a compromettere queste entità per tracciare i movimenti e le comunicazioni di individui che sono di loro interesse. Ciò potrebbe significare che l’ultimo cluster del Lyceum ha un focus operativo sul targeting della Tunisia, o che è un sottoinsieme di attività più ampia che deve ancora essere scoperto.
Il 19 novembre 2020, Shadow Chaser Group ha twittato su un sospetto documento dannoso di MuddyWater APT potenzialmente mirato a un’università negli Emirati Arabi Uniti.
:-) Il nostro gruppo segue Shadow Chaser Group da tempo, e studia e riporta gli IP di distribuzione e Command and Control relativi. Analizzando le sorgenti IP di MuddyWater
Today our researchers have found new sample which belongs to #MuddyWater #APT group:
ITW:a2707bfb35c9fed11d81949873d3a00a
filename: ???? ??? ???????.doc(Training workshop)
URL:http[:]//107.175.196[.]104:443/getCommand?guid=
Topic:United Arab Emirates University
Possiamo dirvi con quasi assoluta certezza che queste bestie da fango cibernetico sono Turchi.
Abbiamo quindi scoperto, Io e il mio gruppo, che esistono interessi smodati della Turchia in Tunisia da tempo, specialmente recente.
Probabilmente i turchi mettono sotto controllo quei burocrati e/o politici che non volevano e non gliono questi affari perchè vorrebbero comprare altrove le armi con i soldi del loro Stato fallito.
E perchè i Turchi violano lo spazio informatico anche degli Emirati Arabi? Leggete questo.
Sulla base della nostra analisi da allora, sospettiamo che questa intrusione faccia parte di una campagna iniziata almeno all’inizio di ottobre 2020 ed è stata vista l’ultima volta attiva alla fine di dicembre 2020. L’attore della minaccia si è affidato al malware basato su VBS per infettare le organizzazioni del governo, ONG e settori dell’istruzione. La nostra telemetria, tuttavia, indica che non sono stati implementati ulteriori strumenti e non crediamo nemmeno che si sia verificato un furto di dati. Questo ci indica che gli attaccanti sono attualmente nella fase di ricognizione delle loro operazioni e ci aspettiamo che successive ondate di attacchi seguiranno nel prossimo futuro. Nel nostro rapporto privato,forniamo un’analisi approfondita dei documenti dannosi utilizzati da questo attore di minacce e ne studiamo le somiglianze con gli strumenti noti di MuddyWater. Anche la configurazione dell’infrastruttura e lo schema di comunicazione sono simili agli incidenti passati attribuiti a questo gruppo. L’attore mantiene un piccolo set di server C2 di prima fase per riconnettersi dall’impianto VBS per le comunicazioni iniziali. La ricognizione iniziale viene eseguita dall’attore e la comunicazione con l’impianto viene trasferita a un secondo stadio C2 per ulteriori download. Infine, presentiamo somiglianze con i TTP noti del gruppo MuddyWater e attribuiamo loro questa campagna con un livello medio di confidenza.L’attore mantiene un piccolo set di server C2 di prima fase per riconnettersi dall’impianto VBS per le comunicazioni iniziali. La ricognizione iniziale viene eseguita dall’attore e la comunicazione con l’impianto viene trasferita a un secondo stadio C2 per ulteriori download. Infine, presentiamo somiglianze con TTP noti del gruppo MuddyWater e attribuiamo loro questa campagna con un livello medio di confidenza.L’attore mantiene un piccolo set di server C2 di prima fase per riconnettersi dall’impianto VBS per le comunicazioni iniziali. La ricognizione iniziale viene eseguita dall’attore e la comunicazione con l’impianto viene trasferita a un secondo stadio C2 per ulteriori download. Infine, presentiamo somiglianze con i TTP noti del gruppo MuddyWater e attribuiamo loro questa campagna con un livello medio di confidenza.
Una volta…una volta è entrato nel nostro glorioso canale un agente dei servizi segreti turchi. E’ durato solo qualche secondo dopo che Io stesso lo identificai per quello che era qualche minuto dopo le sue presentazioni. Per ritorsione chiamarono dei criminali turchi residenti presso Düsseldorf e gli ordinarono di rubare il laptop militare del mio amico ed ex socio Frank. Un getac. Fu un brutto colpo. C’era un pandemonio in quel laptop, anche se i turchi non avrebbero mai potuto averci accesso non ci venne più restituito, e Frank non digerì l’intera vicenda, venendo anche minacciato di morte. Porci.
Domestic Kitten è un gruppo di minacce noto principalmente per le sue backdoor mobili. Le operazioni del gruppo sono state smascherate nel 2018, dimostrando che stava conducendo attacchi di sorveglianza contro individui in Medio Oriente. Il gruppo di minacce ha preso di mira gli utenti Android inviando loro applicazioni popolari e ben note che erano backdoor e contenevano codice dannoso. Molte delle applicazioni avevano temi religiosi o politici ed erano destinate a persone di lingua farsi, araba e curda, forse alludendo agli obiettivi principali di questo attacco. Abbiamo scoperto nuove prove che dimostrano che Domestic Kitten utilizza eseguibili di PE per prendere di mira le vittime che utilizzano Windows almeno dal 2013, con alcune prove che risalgono al 2011. La versione di Windows, che, per quanto ne sappiamo, non è stata descritto in passato, è stato fornito in diverse versioni,con quello più recente utilizzato per almeno tre anni e mezzo per indirizzare gli individui parallelamente alle campagne mobili del gruppo. La funzionalità e l’infrastruttura dell’impianto in quella versione sono rimaste le stesse per tutto il tempo e sono state utilizzate nell’attività del gruppo a cui si è assistito quest’anno.
Ferocious Kitten è un gruppo APT che è attivo contro le persone di lingua persiana dal 2015 e sembra avere sede in Iran. Sebbene sia stato attivo per un lungo periodo di tempo, il gruppo ha operato per lo più sotto il radar e, per quanto ne sappiamo, non è stato coperto dai ricercatori della sicurezza. Solo di recente ha attirato l’attenzione quando un documento di richiamo è stato caricato su VirusTotal ed è stato portato a conoscenza del pubblico dai ricercatori su Twitter. Successivamente, uno dei suoi impianti è stato analizzato da una società di intelligence cinese. Siamo stati in grado di espandere alcuni dei risultati sul gruppo e fornire approfondimenti su ulteriori varianti. Il malware rilasciato dal suddetto documento è soprannominato MarkiRAT e viene utilizzato per registrare le sequenze di tasti e il contenuto degli appunti,fornire funzionalità di download e upload di file, nonché la capacità di eseguire comandi arbitrari sulla macchina della vittima. Siamo stati in grado di far risalire l’impianto almeno al 2015, insieme a varianti intese a dirottare l’esecuzione delle applicazioni Telegram e Chrome come metodo di persistenza. È interessante notare che alcuni dei TTP utilizzati da questo attore di minacce ricordano altri gruppi che operano nel dominio della sorveglianza dei dissidenti. Ad esempio, ha utilizzato per anni gli stessi domini C2 attraverso i suoi impianti, cosa che è stata testimoniata nell’attività di Domestic Kitten. Allo stesso modo, la tecnica di dirottamento dell’esecuzione di Telegram osservata in questa campagna da Ferocious Kitten è stata utilizzata anche da Rampant Kitten, come coperto da Check Point. Nel nostro rapporto privato,espandiamo i dettagli su questi risultati e forniamo analisi e meccanismi del malware MarkiRAT.
Persiani. I più scarsi sulla scena. Anzi quelli più colpiti dai software d’intrusione (Worm) che prendono di mira le loro centrali atomiche (ved. Stuxnet e Duqu)
Karkadann è un attore di minacce che prende di mira enti governativi e organi di stampa in Medio Oriente almeno dall’ottobre 2020. L’attore di minacce sfrutta documenti dannosi su misura con macro incorporate che attivano una catena di infezione, aprendo un URL in Internet Explorer. Le funzionalità minime presenti nelle macro e nelle specifiche del browser suggeriscono che l’attore della minaccia potrebbe sfruttare una vulnerabilità di escalation dei privilegi in Internet Explorer.
Certo oggi nel 2021 ci vuole un doppio coraggio a fare “governo” e “giornalismo” utilizzando Internet Explorer.
Nonostante la piccola quantità di prove disponibili per l’analisi nel caso Karkadann, siamo stati in grado di trovare diverse somiglianze con il caso Piwiks, un attacco a dirotto che abbiamo scoperto e che ha preso di mira diversi siti Web importanti in Medio Oriente. Il nostro rapporto privato presenta le recenti campagne di Karkadann e le somiglianze tra questa campagna e il caso Piwiks.Il rapporto si conclude con alcune sovrapposizioni di infrastrutture con cluster non attribuiti che abbiamo visto dallo scorso anno che sono potenzialmente collegati allo stesso attore della minaccia.
Sud-est asiatico e penisola coreana
Abbiamo scoperto che il gruppo Kimsuky ha adottato un nuovo metodo per distribuire il proprio malware nella sua ultima campagna su un’applicazione di compravendita di azioni sudcoreana. In questa campagna, a partire da dicembre 2020, il gruppo ha compromesso un sito Web appartenente al fornitore di software di compravendita di azioni, sostituendo il pacchetto di installazione ospitato con uno dannoso. Kimsuky ha anche distribuito il suo malware utilizzando un documento Hangul (HWP) dannoso contenente un’esca correlata a COVID-19 che discute di un fondo di soccorso governativo. Entrambi i vettori di infezione alla fine forniscono il Quasar RAT. Rispetto all’ultima catena di infezioni segnalata da Kimsuky, composta da vari script, il nuovo schema aggiunge complicazioni e introduce tipi di file meno popolari, coinvolgendo script VBS, XML e file XSL (Extensible Stylesheet Language) con codice C # incorporato per recuperare ed eseguire stagers e carichi utili.Sulla base del documento di richiamo e delle caratteristiche del pacchetto di installazione compromesso, concludiamo che questo attacco è motivato finanziariamente, che, come abbiamo riportato in precedenza, è una delle principali aree di interesse di Kimsuky.
Seguiamo Kimsuky da diverso tempo, Nord coreani. Credo non ci fosse bisogno neanche di scriverlo. Hanno anche altri software più persistenti come Lazarus. Non sono Gialli da sottovalutare. Non solo prendono di mira aziende ed enti governativi ma anche noi ricercatori sulla sicurezza.
Il 25 gennaio, il Google Threat Analysis Group (TAG) ha annunciato che un attore di minacce legate alla Corea del Nord aveva preso di mira i ricercatori di sicurezza. Secondo il blog di Google TAG, questo attore ha utilizzato un’ingegneria sociale altamente sofisticata, si è rivolto ai ricercatori di sicurezza attraverso i social media e ha consegnato un file di progetto Visual Studio compromesso o li ha attirati sul loro blog e ha installato un exploit di Chrome. Il 31 marzo, Google TAG ha rilasciato un aggiornamento su questa attività che mostra un’altra ondata di falsi profili di social media e un’azienda che l’attore ha creato a metà marzo. Possiamo confermare che diverse infrastrutture sul blog si sovrappongono ai nostri rapporti pubblicati in precedenza sul cluster Threat Needle del gruppo Lazarus. Inoltre, il malware menzionato da Google corrispondeva a ThreatNeedle, malware che monitoriamo dal 2018. Durante l’analisi delle informazioni associate,un collega ricercatore esterno ha confermato che anche lui è stato compromesso da questo attacco, condividendo informazioni per consentirci di indagare. Abbiamo scoperto altri server C2 dopo aver decrittografato i dati di configurazione dall’host compromesso. I server erano ancora in uso durante la nostra indagine e siamo stati in grado di ottenere dati aggiuntivi, analizzando log e file presenti sui server. Valutiamo che l’infrastruttura pubblicata sia stata utilizzata non solo per prendere di mira i ricercatori sulla sicurezza, ma anche in altri attacchi Lazarus. Abbiamo trovato un numero relativamente elevato di host che comunicavano con i C2 al momento della nostra ricerca. Puoi leggere il nostro rapporto pubblico . I server erano ancora in uso durante la nostra indagine e siamo stati in grado di ottenere dati aggiuntivi, analizzando log e file presenti sui server. Valutiamo che l’infrastruttura pubblicata sia stata utilizzata non solo per prendere di mira i ricercatori sulla sicurezza, ma anche in altri attacchi Lazarus. Abbiamo trovato un numero relativamente elevato di host che comunicavano con i C2 al momento della nostra ricerca. Puoi leggere il nostro rapporto pubblico. I server erano ancora in uso durante la nostra indagine e siamo stati in grado di ottenere dati aggiuntivi, analizzando log e file presenti sui server. Valutiamo che l’infrastruttura pubblicata sia stata utilizzata non solo per prendere di mira i ricercatori sulla sicurezza, ma anche in altri attacchi Lazarus. Abbiamo trovato un numero relativamente elevato di host che comunicavano con i C2 al momento della nostra ricerca. Puoi leggere il nostro rapporto pubblico qui.
In seguito alla nostra precedente indagine sugli attacchi di Lazarus al settore della difesa utilizzando ThreatNeedle, abbiamo scoperto un altro cluster di malware denominato CookieTime utilizzato in una campagna incentrata principalmente sul settore della difesa. Abbiamo rilevato attività a settembre e novembre 2020, con campioni risalenti ad aprile 2020. Rispetto ai cluster di malware già noti del gruppo Lazarus, CookieTime mostra una struttura e funzionalità diverse. Questo malware comunica con il server C2 utilizzando il protocollo HTTP. Per consegnare il tipo di richiesta al server C2, utilizza i valori dei cookie codificati e recupera i file di comando dal server C2. La comunicazione C2 sfrutta le tecniche di steganografia, fornite in file scambiati tra i client infetti e il server C2. I contenuti sono camuffati da file immagine GIF,ma contengono comandi crittografati dal server C2 e risultati dell’esecuzione del comando. Abbiamo avuto la possibilità di esaminare lo script di comando e controllo come risultato della collaborazione con un CERT locale per smantellare l’infrastruttura dell’attore della minaccia. I server di controllo del malware sono configurati in più fasi e forniscono il file di comando solo a host di valore.
Durante le indagini sugli artefatti di un attacco alla catena di approvvigionamento sul sito Web della VGCA (Autorità di certificazione del governo del Vietnam), abbiamo scoperto che il primo pacchetto Trojan risale a giugno 2020. Svelando quel thread, abbiamo identificato una serie di strumenti post-compromesso sotto forma di plug-in distribuiti utilizzando il malware PhantomNet, che è stato fornito utilizzando pacchetti Trojanizzati. La nostra analisi di questi plugin ha rivelato somiglianze con il malware CoughingDown analizzato in precedenza. Nel nostro rapporto privato, offriamo una descrizione dettagliata per ogni strumento post-compromesso utilizzato nell’attacco, così come altri strumenti appartenenti all’arsenale dell’attore. Infine, esploriamo anche l’attribuzione CoughingDown alla luce delle recenti scoperte.
Il 10 febbraio, DBAPPSecurity ha pubblicato i dettagli su un exploit zero-day scoperto lo scorso dicembre. A parte i dettagli dell’exploit stesso, i ricercatori hanno anche menzionato che è stato utilizzato in natura da BitterAPT. Sebbene tali informazioni successive non siano state fornite nella relazione iniziale per spiegare le affermazioni di attribuzione, la nostra indagine su questa attività conferma che l’exploit è stato effettivamente utilizzato esclusivamente da questo attore. Abbiamo assegnato il nome TurtlePower alla campagna che fa uso di questo exploit, insieme agli altri strumenti utilizzati per prendere di mira entità governative e di telecomunicazioni in Pakistan e Cina. Abbiamo anche collegato con sicurezza l’origine di questo exploit a un broker a cui ci riferiamo come Moses. Moses è stato responsabile dello sviluppo di almeno cinque exploit rattoppati negli ultimi due anni. Finora siamo stati anche in grado di legare l’utilizzo di alcuni di questi exploit ad almeno due attori diversi: BitterAPT e DarkHotel. Al momento, non è chiaro come questi attori delle minacce ottengano exploit da Moses, sia tramite acquisto diretto che tramite un altro fornitore di terze parti. Durante la campagna TurtlePower, BitterAPT ha utilizzato una vasta gamma di strumenti sulle sue vittime per includere un payload di fase uno chiamato ArtraDownloader, un payload di fase due chiamato Splinter, un keylogger chiamato SourLogger, un infostealer chiamato SourFilling, nonché variazioni di Mimikatz per raccogliere specifiche file e mantenerne l’accesso. Questa particolare campagna sembra anche essere strettamente focalizzata su obiettivi all’interno del Pakistan e della Cina (sulla base del rapporto iniziale a cui si fa riferimento). Sebbene possiamo verificare un targeting specifico all’interno del Pakistan utilizzando i nostri dati,non siamo stati in grado di fare lo stesso per quanto riguarda la Cina. L’uso di CVE-2021-1732 ha raggiunto il picco tra giugno e luglio 2020, ma la campagna complessiva è ancora in corso.
Questi due ultimi gruppi APT sono americani o australiani, o di entrambi i paesi. Gli americani in fondo hanno un vero e vecchio ma sempre aggiornato APT Mondiale d’Intrusione e Registrazione Dati, di tutti i dati, dei nostri dati…
Nel 2020, abbiamo osservato nuove ondate di attacchi relativi a Dropping Elephant (aka Patchwork, Chinastrats), concentrandosi su obiettivi in Cina e Pakistan. Abbiamo anche rilevato alcuni obiettivi al di fuori della tradizionale area di attività del gruppo, in particolare in Medio Oriente, e un crescente interesse per il continente africano. Gli attacchi hanno seguito i TTP consolidati del gruppo, che includono l’uso di documenti dannosi creati per sfruttare una vulnerabilità di esecuzione di codice in modalità remota in Microsoft Office e il Trojan JakyllHyde (noto anche come BadNews) nelle fasi successive dell’infezione. Dropping Elephant ha introdotto un nuovo caricatore per JakyllHyde, uno strumento che abbiamo chiamato Crypta. Contiene meccanismi per ostacolare il rilevamento e sembra essere un componente fondamentale del recente set di strumenti di questo attore APT.Crypta e le sue varianti sono state osservate in più scenari caricando un’ampia gamma di payload successivi, come Bozok RAT, Quasar RAT e LokiBot. Un altro Trojan scoperto durante la nostra ricerca è stato PubFantacy. Per quanto ne sappiamo, questo strumento non è mai stato descritto pubblicamente ed è stato utilizzato per indirizzare i server Windows almeno dal 2018.
Di recente abbiamo scoperto un impianto Android precedentemente sconosciuto al pubblico utilizzato nel 2018-2019 dal gruppo di minacce SideWinder, che abbiamo soprannominato BroStealer. Lo scopo principale dell’impianto BroStealer è raccogliere informazioni sensibili dal dispositivo di una vittima, come foto, messaggi SMS, registrazioni di chiamate e file da varie applicazioni di messaggistica. Sebbene SideWinder abbia numerose campagne contro le vittime che utilizzano la piattaforma Windows, rapporti recenti hanno dimostrato che questo gruppo di minacce insegue i suoi obiettivi anche tramite la piattaforma mobile.
Altre scoperte interessanti
Nel febbraio 2019, più società di antivirus hanno ricevuto una raccolta di campioni di malware, la maggior parte dei quali associati a vari gruppi APT noti. Alcuni dei campioni non possono essere associati ad alcuna attività nota. Alcuni, in particolare, hanno attirato la nostra attenzione per la loro raffinatezza. Gli esempi sono stati compilati nel 2014 e, di conseguenza, sono stati probabilmente distribuiti nel 2014 e forse fino al 2015. Sebbene non abbiamo trovato alcun codice condiviso con nessun altro malware noto, gli esempi hanno intersezioni di modelli di codifica, stile e tecniche che sono stati visto in varie famiglie Lambert. Abbiamo quindi chiamato questo malware Purple Lambert. Purple Lambert è composto da diversi moduli, con il suo modulo di rete che ascolta passivamente un pacchetto magico. È in grado di fornire a un utente malintenzionato le informazioni di base sul sistema infetto e di eseguire un payload ricevuto. La sua funzionalità ci ricorda Gray Lambert, un altro ascoltatore passivo in modalità utente. Gray Lambert si è rivelato essere un sostituto dell’impianto White Lambert dell’ascoltatore passivo in modalità kernel in più incidenti. Inoltre, Purple Lambert implementa funzionalità simili, ma in modi diversi, sia a Gray Lambert che a White Lambert. Il nostro rapporto, disponibile per gli abbonati ai nostri rapporti sulle minacce APT, include la discussione sia del payload dell’ascoltatore passivo che della funzionalità del caricatore inclusa nel modulo principale.
Pensieri finali
Mentre i TTP di alcuni attori delle minacce rimangono coerenti nel tempo, facendo molto affidamento sull’ingegneria sociale come mezzo per prendere piede in un’organizzazione di destinazione o compromettere il dispositivo di un individuo, altri aggiornano i loro set di strumenti ed estendono l’ambito delle loro attività. Le nostre revisioni trimestrali periodiche hanno lo scopo di evidenziare gli sviluppi chiave dei gruppi APT.
Ecco le principali tendenze che abbiamo visto nel primo trimestre del 2021:
Forse l’attacco più predominante che abbiamo studiato in questo trimestre è stato l’attacco SolarWinds. SolarWinds ha dimostrato ancora una volta quanto può essere efficace un attacco alla catena di approvvigionamento, soprattutto dove gli aggressori fanno il possibile per rimanere nascosti e mantenere la persistenza in una rete di destinazione. La portata di questo attacco è ancora oggetto di indagine man mano che vengono scoperti più difetti zero-day nei prodotti SolarWinds.
Un’altra ondata critica di attacchi è stata lo sfruttamento delle vulnerabilità zero-day di Microsoft Exchange da parte di più attori delle minacce. Di recente abbiamo scoperto un’altra campagna che utilizza questi exploit con targeting diverso, possibilmente correlata allo stesso cluster di attività già segnalate.
L’audace campagna del gruppo Lazarus rivolta ai ricercatori sulla sicurezza di tutto il mondo ha anche utilizzato le vulnerabilità zero-day nei browser per compromettere i loro obiettivi. Le loro campagne hanno utilizzato temi incentrati sull’uso dei giorni zero per attirare ricercatori pertinenti, possibilmente nel tentativo di rubare la ricerca sulla vulnerabilità.
Nord Coreani abili e pazienti ladri.
