Sommario
Il gruppo di minacce avanzate UNC3886 è stato recentemente scoperto sfruttare malware sofisticati per condurre operazioni di spionaggio informatico. Il team di intelligence di Google Cloud ha identificato due principali strumenti utilizzati da questo gruppo: MOPSLED e RIFLESPINE. Questi malware sfruttano piattaforme fidate come GitHub e Google Drive come canali di comando e controllo (C2), rendendo difficile l’individuazione delle loro attività.
MOPSLED: La Backdoor Modulare
MOPSLED è una backdoor modulare basata su shellcode, capace di comunicare con il server C2 tramite HTTP o un protocollo binario personalizzato su TCP. Le principali funzionalità di MOPSLED includono:
- Espansione delle Capacità: Recupera plugin dal server C2 per espandere le sue capacità.
- Cifratura: Utilizza l’algoritmo ChaCha20 per decifrare file di configurazione incorporati ed esterni.
Mandiant ha osservato che MOPSLED è condiviso tra vari gruppi di spionaggio cibernetico cinesi, incluso APT41. È considerato un’evoluzione di CROSSWALK, agendo anche come proxy di rete. MOPSLED.LINUX, la variante Linux, è stata distribuita su server vCenter compromessi e alcuni endpoint compromessi dove REPTILE era già presente.
RIFLESPINE: La Backdoor Cross-Platform
RIFLESPINE è una backdoor cross-platform che utilizza Google Drive per trasferire file ed eseguire comandi. Adotta la libreria CryptoPP per implementare l’algoritmo AES, cifrando i dati trasmessi tra il sistema infetto e l’attore della minaccia. Le istruzioni per RIFLESPINE vengono caricate su Google Drive e decriptate dal malware sul sistema target.
Tecniche di Infezione e Persistenza
UNC3886 utilizza diverse catene di infezione per distribuire MOPSLED e RIFLESPINE, tra cui file LNK e HTA. Le catene di infezione coinvolgono l’uso di file RAR autoestraenti che contengono componenti malevoli e documenti esca. La persistenza viene mantenuta tramite l’uso di servizi systemd per eseguire i malware.
Comunicazioni C2 e Persistenza
RIFLESPINE comunica con il server C2 tramite Google Drive, implementando un processo ciclico per scaricare ed eseguire istruzioni cifrate. Le risposte vengono poi cifrate e caricate nuovamente su Google Drive. MOPSLED.LINUX utilizza URL dead-drop per recuperare indirizzi C2 effettivi e comunicare tramite un protocollo binario personalizzato.
Subverting Accesses With Backdoored Applications
UNC3886 sfrutta applicazioni compromesse per raccogliere credenziali valide e muoversi lateralmente tra le macchine virtuali compromesse. Le tecniche includono l’uso di client SSH backdoor per intercettare e raccogliere credenziali, memorizzandole in file XOR-cifrati.
UNC3886 utilizza tecniche avanzate di spionaggio informatico, sfruttando malware come MOPSLED e RIFLESPINE per ottenere e mantenere l’accesso ai sistemi compromessi. Le organizzazioni devono adottare misure di sicurezza robuste per rilevare e mitigare queste minacce.
