Sommario
Una serie di attacchi contro organizzazioni industriali in Europa dell’Est, avvenuti lo scorso anno, sono stati attribuiti con una fiducia media-alta a un gruppo di hacker noto come APT31, collegato alla Cina. Gli attacchi hanno incluso l’uso di oltre 15 distinti impianti e le loro varianti, suddivisi in tre categorie principali, con l’obiettivo di stabilire un accesso remoto persistente, raccogliere informazioni sensibili e trasmettere i dati raccolti a un’infrastruttura controllata dall’attore.
Dettagli degli attacchi
Gli attacchi hanno incluso l’uso di malware modulare sofisticato, mirato a profilare le unità rimovibili e contaminarle con un worm per estrarre dati da reti isolate. Un altro tipo di impianto è stato progettato per rubare dati da un computer locale e inviarli a Dropbox. Tra le backdoor utilizzate, vi sono varie versioni di una famiglia di malware chiamata FourteenHi, utilizzata almeno dal marzo 2021, e un backdoor di primo stadio chiamato MeatBall, utilizzato per l’accesso remoto e la raccolta iniziale di dati.
Utilizzo di servizi cloud
Gli attacchi hanno mostrato una tendenza all’abuso di servizi cloud come Dropbox, Yandex e Google. Questo approccio continua a espandersi, poiché è difficile da limitare o mitigare quando i processi aziendali dipendono dall’uso di tali servizi. Gli attori delle minacce rendono sempre più difficile rilevare e analizzare le minacce, nascondendo i payload in forma crittografata e il codice dannoso nella memoria di applicazioni legittime.
Implant dedicati e malware
APT31 è stato osservato anche nell’utilizzo di impianti dedicati per raccogliere file locali e sottrarre dati da sistemi isolati, infettando unità rimovibili. Il malware utilizzato consiste in almeno tre moduli, ognuno responsabile di compiti diversi, come la profilazione e la gestione delle unità rimovibili, la registrazione dei tasti premuti e degli screenshot, e l’installazione di malware di secondo stadio su unità appena collegate.
Sforzi deliberati per offuscare le azioni
Gli sforzi deliberati dell’attore delle minacce per offuscare le loro azioni attraverso payload crittografati, iniezioni di memoria e dirottamento di DLL sottolineano la sofisticazione delle loro tattiche. Anche se l’estrazione di dati da reti isolate è una strategia ricorrente adottata da molti APT, questa volta è stata progettata e implementata in modo unico dall’attore.
Attacchi contro sistemi Linux
Oltre agli attacchi mirati all’ambiente Windows, c’è evidenza che APT31 ha preso di mira anche i sistemi Linux. All’inizio di questo mese, il centro di risposta alle emergenze di sicurezza AhnLab (ASEC) ha scoperto attacchi probabilmente effettuati dall’avversario contro aziende sudcoreane, con l’obiettivo di infettare le macchine con un backdoor chiamato Rekoobe.
