Unfading Sea Haze: APT nel Mar Cinese Meridionale

Bitdefender Labs ha condotto un’indagine su una serie di attacchi informatici mirati a organizzazioni di alto livello nei paesi del Mar Cinese Meridionale, rivelando un nuovo attore di minacce chiamato Unfading Sea Haze. Questo APT, noto per la sua persistenza e il focus regionale, sembra essere allineato con interessi cinesi, come suggeriscono i bersagli e la natura degli attacchi.

Attività e tecniche di Unfading Sea Haze

Tattiche e strumenti utilizzati

L’indagine ha rivelato che Unfading Sea Haze utilizza una varietà di strumenti e tecniche per infiltrarsi nei sistemi delle vittime e mantenere l’accesso. Tra questi strumenti, spiccano le iterazioni del framework Gh0st RAT e vari payload .NET. Gli attacchi sono stati condotti principalmente attraverso campagne di spear-phishing con archivi malevoli contenenti file LNK travestiti da documenti legittimi. Una volta aperti, questi file eseguono comandi malevoli.

Gli attacchi sono caratterizzati da un’elevata sofisticazione, con tecniche di evasione che includono l’uso di commenti lunghi nei comandi dei file LNK per evitare il rilevamento. Inoltre, il gruppo ha mostrato una notevole abilità nel ripristinare l’accesso ai sistemi compromessi, sfruttando pratiche inadeguate di gestione delle credenziali e patching.

Persistenza e evasione

Per mantenere la persistenza, Unfading Sea Haze ha utilizzato task pianificati che imitano file di sistema legittimi, combinati con il sideloading di DLL malevoli. Ad esempio, i task pianificati possono avviare un programma legittimo che carica una libreria dannosa situata nella stessa directory. Questo metodo permette agli attaccanti di sfruttare il software legittimo per eseguire codice malevolo.

Inoltre, il gruppo ha utilizzato strumenti di monitoraggio dei dispositivi USB e WPD per raccogliere informazioni dai dispositivi connessi. Questi strumenti inviano i dati raccolti a server controllati dagli attaccanti.

Implicazioni e raccomandazioni

La capacità di Unfading Sea Haze di rimanere inosservato per oltre sei anni evidenzia una significativa debolezza nella sicurezza delle credenziali e nelle pratiche di patching. È fondamentale che le organizzazioni adottino misure di sicurezza robuste per proteggersi da tali minacce.

Raccomandazioni per la Sicurezza

1. Gestione delle Vulnerabilità: Implementare processi rigorosi di gestione delle patch per identificare e risolvere rapidamente le vulnerabilità critiche.
2. Autenticazione Forte: Enforce politiche di password complesse e utilizzo di autenticazione multi-fattore (MFA) per ridurre il rischio di accessi non autorizzati.
3. Segmentazione della Rete: Adottare un modello di rete a fiducia zero e segmentare la rete per limitare il movimento laterale degli attaccanti.
4. Difesa Multilivello: Investire in una gamma diversificata di controlli di sicurezza per creare strati sovrapposti di difesa.
5. Monitoraggio del Traffico di Rete: Monitorare il traffico di rete per identificare modelli di comunicazione insoliti che potrebbero indicare attività malevole.
6. Registrazione Efficace: Assicurarsi che i log siano abilitati e forniscano informazioni sufficienti per il supporto forense.
7. Rilevamento e Risposta: Potenziare le capacità di rilevamento e risposta per minimizzare il tempo di permanenza degli attori malevoli all’interno dell’ambiente.
8. Collaborazione e Condivisione delle Informazioni: Partecipare a iniziative di condivisione delle informazioni per ottenere insights preziosi sulle minacce emergenti.

L’indagine su Unfading Sea Haze rivela un attore di minacce sofisticato con legami potenziali con l’ecosistema cyber cinese. La loro abilità nel rimanere nascosti per anni e la complessità dei loro attacchi sottolineano l’importanza di pratiche di sicurezza robuste e aggiornate. La condivisione di queste scoperte mira a rafforzare la comunità della sicurezza informatica e a fornire le conoscenze necessarie per rilevare e interrompere gli sforzi di spionaggio di questo gruppo.