Un gruppo avanzato di minacce persistenti (APT) cinese sta conducendo una campagna di spionaggio, denominata Operazione Diplomatic Specter, che mira a entità politiche in Medio Oriente, Africa e Asia. Questa campagna è attiva almeno dalla fine del 2022 e coinvolge operazioni di spionaggio a lungo termine contro almeno sette enti governativi.
Obiettivi della campagna
L’operazione si concentra sulla raccolta di informazioni sensibili e classificate relative a missioni diplomatiche, ambasciate, operazioni militari, riunioni politiche e ministeri dei paesi presi di mira. Gli attori della minaccia utilizzano tecniche rare di esfiltrazione di email da server compromessi per ottenere queste informazioni.
Gli attacchi mirano specificamente a:
- Missioni diplomatiche ed economiche
- Ambasciate
- Operazioni militari
- Riunioni politiche
- Ministeri degli affari esteri e della difesa
- Alti funzionari governativi
Tecniche di spionaggio
Il gruppo di minaccia utilizza una famiglia di backdoor precedentemente non documentate, chiamate TunnelSpecter e SweetSpecter, per mantenere l’accesso ai sistemi compromessi. Questi strumenti consentono l’esecuzione di comandi arbitrari, l’esfiltrazione di dati e il dispiegamento di ulteriore malware.
🔴 OSSERVATORIO INTELLIGENCE: LIVE
TunnelSpecter
- DNS Tunneling: Utilizza la tecnica di tunneling DNS per la comunicazione con il server di comando e controllo (C2).
- Esecuzione di Comandi Arbitrari: Permette l’esecuzione remota di comandi sul sistema infetto.
- Cifratura dei Dati: Cifra i dati esfiltrati per aumentare la furtività.
SweetSpecter
- Pacchetti Encrypted zlib: Comunica con il C2 utilizzando pacchetti zlib criptati.
- Cifratura Esclusiva: Utilizza chiavi di registro uniche per memorizzare i dati di configurazione.
- Somiglianze con Gh0st RAT: Condivide caratteristiche con varianti di Gh0st RAT, un malware noto per lo spionaggio.
Connessione con la Cina
L’analisi delle attività del gruppo di minaccia indica una forte connessione con gli interessi statali cinesi. I segni distintivi includono l’utilizzo di infrastrutture operative APT cinesi, strumenti comuni tra gli attori di minacce cinesi e commenti nei codici scritti in mandarino.
Implicazioni di Sicurezza
L’uso ripetuto di vulnerabilità note nei server Exchange e nei server web pubblicamente accessibili evidenzia l’importanza di rafforzare la sicurezza delle infrastrutture critiche. Le organizzazioni devono applicare le patch di sicurezza in modo tempestivo e adottare migliori pratiche di igiene informatica per ridurre la superficie di attacco.
Misure di Protezione
Palo Alto Networks offre diverse soluzioni per proteggere contro questa campagna:
- Firewall di Nuova Generazione: Con servizi di sicurezza basati su cloud e prevenzione avanzata delle minacce.
- Automazione della Sicurezza: Attraverso Cortex XSOAR e XSIAM, che forniscono una comprensione completa delle minacce.
- Protezione Anti-Exploit: Utilizzando moduli di protezione contro exploit noti e sconosciuti.
- Sicurezza del Cloud: Prisma Cloud Compute e WildFire per rilevare e prevenire l’esecuzione di malware.
Le organizzazioni che sospettano di essere state compromesse possono contattare il team di risposta agli incidenti di Unit 42 per assistenza immediata.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
