Sommario
APT17, un gruppo di hacker legato alla Cina, ha recentemente lanciato attacchi mirati contro aziende italiane e entità governative utilizzando una variante del malware 9002 RAT. Questi attacchi sono stati osservati dalla società di sicurezza informatica italiana TG Soft e sono parte di una serie di operazioni di spionaggio informatico condotte da APT17, noto anche come “DeputyDog”. Di seguito, una panoramica dettagliata delle recenti attività di APT17 e delle tecniche utilizzate.
Attacchi Recenti di APT17 in Italia
Due attacchi mirati sono stati rilevati il 24 giugno e il 2 luglio 2024. Il primo attacco utilizzava un documento di Office, mentre il secondo conteneva un link. Entrambe le campagne invitavano le vittime a installare un pacchetto Skype for Business da un dominio simile a quello del governo italiano, trasmettendo così una variante del 9002 RAT in modalità diskless.
L’attacco del 24 giugno utilizzava un documento Word intitolato “GUIDA OPERATIVA PER l’UTENTE.docx”, creato il 18 giugno 2024. La campagna del 2 luglio invece utilizzava un link diretto alla URL dannosa. Entrambe le campagne invitavano le vittime a connettersi alla pagina:
bashCopia codicehttps://meeting[.]equitaligaiustizia[.]it/angelo.maisto.guest
Il sito imitava una pagina ufficiale per i meeting di Equitalia Giustizia e invitava l’utente a scaricare un pacchetto di installazione MSI personalizzato per Skype for Business. Questo pacchetto, denominato “SkypeMeeting.msi”, conteneva file malevoli che, una volta eseguiti, installavano il malware 9002 RAT.
Descrizione del Malware 9002 RAT
9002 RAT, noto anche come Hydraq e McRAT, è un trojan modulare utilizzato in diverse operazioni di spionaggio informatico. È in grado di monitorare il traffico di rete, catturare schermate, enumerare file, gestire processi ed eseguire comandi ricevuti da un server remoto. Il malware viene costantemente aggiornato con varianti senza disco, rendendo più difficile la rilevazione.
Nella catena di infezione osservata, il pacchetto MSI scaricato conteneva i seguenti file interessanti:
- SkypeMeetingsApp.msi (pacchetto MSI originale per l’installazione di Skype for Business)
- vcruntime.jar
- vcruntime.vbs
- vcruntime.bin
L’esecuzione del pacchetto MSI comportava l’installazione del software legittimo Skype for Business e l’esecuzione dell’applicazione Java “vcruntime.jar” tramite lo script VBS “vcruntime.vbs”. L’applicazione Java decriptava ed eseguiva il shellcode contenuto nel file “vcruntime.bin”, che avviava il malware 9002 RAT.
Tecniche di attacco e strumenti utilizzati
APT17 utilizza vari moduli nel 9002 RAT, attivati secondo necessità per ridurre la possibilità di intercettazione. Durante l’analisi del campione, il criminale ha inviato i seguenti moduli aggiuntivi:
- ScreenSpyS.dll -> cattura schermate
- RemoteShellS.dll -> esecuzione di programmi
- UnInstallS.dll -> disinstallazione
- FileManagerS.dll -> gestione file
- ProcessS.dll -> gestione processi
Il campione analizzato comunicava con il server di comando e controllo (C&C) ospitato su un dominio che simulava un dominio Microsoft. La comunicazione con il server avveniva in modo criptato e codificato in Base64.
Implicazioni e Misure di Sicurezza
Gli attacchi di APT17 rappresentano una minaccia significativa per la sicurezza informatica delle aziende e delle entità governative non solo in Italia. È essenziale che le organizzazioni adottino misure di sicurezza avanzate per proteggersi da tali minacce, inclusa l’implementazione di soluzioni di sicurezza endpoint, la formazione dei dipendenti sul riconoscimento delle esche di phishing e il monitoraggio continuo delle reti per individuare attività sospette.
