Cisco Talos ha scoperto una campagna dannosa che ha compromesso un istituto di ricerca affiliato al governo di Taiwan, iniziata a luglio 2023. Gli attacchi hanno utilizzato il malware ShadowPad, Cobalt Strike e altri strumenti personalizzati per attività post-compromissione. Questa attività è stata attribuita al gruppo di hacker APT41, composto da cittadini cinesi secondo il governo degli Stati Uniti. L’analisi di Talos ha rilevato che l’uso combinato di malware, strumenti open-source e tecniche post-compromissione corrisponde ai metodi operativi abituali di questo gruppo.
Dettagli della compromissione
Tecniche utilizzate
Il malware ShadowPad utilizzato nella campagna ha sfruttato una versione vulnerabile obsoleta del file binario Microsoft Office IME come loader per caricare un loader di seconda fase personalizzato per lanciare il payload. Inoltre, APT41 ha creato un loader su misura per iniettare una prova di concetto per CVE-2018-0824 direttamente nella memoria, utilizzando una vulnerabilità di esecuzione di codice remoto per ottenere l’escalation dei privilegi locali.
Compromissione dell’Istituto di Ricerca
Ad agosto 2023, Cisco Talos ha rilevato comandi PowerShell anomali che si connettevano a un indirizzo IP per scaricare ed eseguire script PowerShell nell’ambiente di un istituto di ricerca taiwanese affiliato al governo. Questo istituto, che si occupa di tecnologie informatiche e di ricerca e sviluppo, è un obiettivo prezioso per gli attori delle minacce interessati a ottenere tecnologie proprietarie e sensibili.
Attori delle Minacce Cinesi
Cisco Talos ha valutato con media sicurezza che questa campagna è stata condotta da APT41. Questa valutazione si basa su sovrapposizioni nelle tattiche, tecniche e procedure (TTP), infrastruttura e famiglie di malware utilizzate esclusivamente dai gruppi APT cinesi. L’analisi dei malware loader utilizzati in questo attacco ha rivelato che si tratta di loader ShadowPad. Tuttavia, Talos non è stato in grado di recuperare i payload finali di ShadowPad utilizzati dagli attaccanti.
Metodi di attacco
Durante l’indagine, Talos ha osservato alcune TTP o Indicatori di Compromissione (IoC) osservati in campagne precedenti, tra cui:
- Lo stesso loader binario di seconda fase: un loader di seconda fase, che funge da successore del loader ShadowPad iniziale, è stato collegato a ShadowPad e precedentemente associato pubblicamente a ShadowPad.
- Sovrapposizione dell’infrastruttura: oltre alla connessione binaria, è stato trovato un server di comando e controllo (C2) (103.56.114[.]69) che era stato segnalato da Symantec.
- Uso dell’eseguibile Bitdefender per il sideloading: l’attore delle minacce utilizza un eseguibile vecchio di undici anni per caricare il loader ShadowPad basato su DLL.
Raccolta di informazioni e esfiltrazione
Gli attaccanti hanno utilizzato Mimikatz per raccogliere gli hash dal processo lsass e WebBrowserPassView per ottenere tutte le credenziali memorizzate nei browser web. Hanno eseguito comandi come “net,” “whoami,” “quser,” “ipconfig,” “netstat,” e “dir” per ottenere informazioni sugli account utente, la struttura delle directory e le configurazioni di rete dai sistemi compromessi. Inoltre, è stato osservato un query al registro per ottenere lo stato attuale della raccolta di inventario software sul sistema.
Exfiltrazione di Dati
Per esfiltrare un gran numero di file da più macchine compromesse, gli attori delle minacce hanno utilizzato 7zip per comprimere e crittografare i file in un archivio, inviandoli successivamente al server di comando e controllo tramite backdoor.
Analisi dei Caricamenti di Malware
Durante l’indagine, sono state incontrate due diverse iterazioni del loader ShadowPad, entrambe utilizzavano la stessa tecnica di sideloading ma sfruttavano diversi binari legittimi vulnerabili per avviare il loader ShadowPad.
Loader ShadowPad
La prima variante del loader ShadowPad aveva una struttura tecnica e nomi dei componenti coerenti con i rapporti precedenti. La variante più recente del loader ShadowPad ha preso di mira una versione obsoleta e vulnerabile del binario Microsoft Office IME imecmnt.exe, vecchio di oltre 13 anni. Questo loader cerca una sequenza di byte specifica per verificare l’integrità prima di decrittografare e iniettare il payload “Imjp14k.dll.dat” nella memoria di sistema.
Loader Cobalt Strike “Anti-AV” da Progetto Open Source Cinese
Un loader Cobalt Strike è stato rilevato in questo incidente. Il loader è stato sviluppato in linguaggio Go e presenta stringhe in cinese semplificato, indicando che è stato creato da attori delle minacce esperti in questa lingua. Il loader utilizza tecniche di steganografia per nascondere il payload Cobalt Strike in un’immagine, eseguendolo in memoria runtime.
Cisco Talos ha rilevato che il gruppo APT41 ha compromesso un istituto di ricerca affiliato al governo di Taiwan utilizzando tecniche avanzate e malware sofisticati come ShadowPad e Cobalt Strike. Questo attacco evidenzia l’importanza di una sicurezza robusta e di aggiornamenti regolari per prevenire compromissioni da parte di attori delle minacce avanzati.
