APT sponsorizzato dallo stato cinese è sospettato di recenti attacchi di ransomware
Le analisi dei ricercatori sulla sicurezza sui recenti attacchi di malware a più aziende indicano che un gruppo di hacker sponsorizzato da uno stato cinese, APT, potrebbe essere coinvolto in questa operazione.
Gli aggressori sono avvenuti nell’anno 2020 su almeno cinque società. Gli aggressori hanno raggiunto gli obiettivi attraverso un terzo fornitore di servizi, che è stato infettato da un altro fornitore di terze parti, hanno affermato i ricercatori delle aziende Profero e Security Joes.
Gli attori delle minacce si sono affidati a BitLocker. Crittografano con successo diversi servizi principali utilizzando uno strumento di crittografia delle unità in Windows. I campioni di malware collegati a DRBControl, segnalati da Trend Micro e attribuiti ad APT27 e Winnti attivi dal 2010.
Profero e Security Joes hanno presentato congiuntamente un rapporto che è la chiara prova che questi due gruppi stanno utilizzando una backdoor Clambling rispetto a quella utilizzata nella campagna DRBControl. Inoltre, hanno scoperto la webshell ASPXSpy, la cui versione modificata è stata vista nell’attacco attribuito ad APT27.
Nel rapporto si legge anche: “Per quanto riguarda chi c’è dietro questa specifica catena di infezioni, ci sono legami estremamente forti con APT27 / Emissary Panda, in termini di somiglianze di codice e TTP [tattiche, tecniche e procedure].
Gli attori malintenzionati hanno distribuito PlugX e malware Clambing nella memoria di sistema utilizzando il vecchio eseguibile del programma di aggiornamento di Google vulnerabile al caricamento laterale della DLL.
“Per ciascuno dei due esempi, era presente un eseguibile legittimo, una DLL dannosa e un file binario costituito da shellcode responsabile dell’estrazione del payload da se stesso e dell’esecuzione in memoria. Entrambi gli esempi utilizzavano Google Updater firmato ed entrambe le DLL erano etichettato goopdate.dll, tuttavia il file binario PlugX è stato denominato license.rtf e il file binario Clambling è stato denominato English.rtf. “
Inoltre, è stata sfruttata una vulnerabilità del 2017 (CVE-2017-0213) che presumibilmente era stata sfruttata per aumentare i privilegi sul sistema.
L’analista di sicurezza di Security Joes ha affermato che il punto chiave di questi attacchi è il coinvolgimento del gruppo di hacker in una campagna finanziariamente guidata.
Un gruppo così dannoso è un segnale che i governi dovrebbero avere un approccio unificato nella lotta contro queste minacce, hanno detto i ricercatori di Profero.