Sommario
Gli attacchi informatici sofisticati e ben finanziati, motivati strategicamente da gruppi sponsorizzati dallo stato, APT, rappresentano una sfida complessa e richiedono misure di cybersecurity avanzate, intelligence sulle minacce e cooperazione internazionale: campagna di minacce “Cuckoo Spear” recentemente scoperta da Cybereason, evidenzia l’importanza di queste misure ed il ruolo della Cina con il suo battaglione cibernetico APT10 .
Panoramica della campagna Cuckoo Spear
Cuckoo Spear è una campagna di spionaggio informatico attribuita al gruppo APT10, un noto gruppo di cyber spionaggio sponsorizzato dallo stato cinese. Attivo dal 2006, APT10 è noto per prendere di mira settori critici come le comunicazioni, la manifattura e vari settori pubblici. La campagna utilizza nuovi strumenti e tecniche, tra cui il malware LODEINFO e la backdoor modulare NOOPDOOR, per mantenere una presenza persistente nelle reti delle vittime.
Tecniche di attacco e persistenza
Gli attacchi iniziano con tecniche di spear-phishing, seguite dall’utilizzo di malware per mantenere l’accesso alla rete. Il malware LODEINFO viene utilizzata come backdoor principale, mentre NOOPDOOR funge da backdoor secondaria. Questi strumenti permettono agli attori delle minacce di esfiltrare dati sensibili dalle reti compromesse.
Metodi di persistenza
- Scheduled Tasks: Gli attori delle minacce abusano delle attività pianificate per eseguire file XML malevoli che caricano il loader NOOPDOOR.
- WMI Consumer Events: Utilizzano eventi consumer WMI per eseguire azioni quando un filtro viene attivato, utilizzando MSBuild per caricare NOOPDOOR.
- Windows Services: Creano servizi malevoli che caricano DLL non firmate per mantenere la persistenza.
Strumenti e tattiche di NOOPDOOR
NOOPDOOR è una backdoor modulare a 64 bit che utilizza la comunicazione C2 basata su DGA. Viene caricato da NOOPLDR, che decripta ed esegue NOOPDOOR. Questi strumenti sono progettati per infiltrarsi furtivamente, esfiltrare dati e mantenere un accesso persistente alle reti compromesse.
Raccomandazioni per la difesa
Cybereason consiglia di adottare le seguenti misure per proteggersi da queste minacce avanzate:
- Implementare Misure di Sicurezza Robuste: Monitorare e rilevare attività sospette con protocolli di sicurezza avanzati.
- Collaborare con Esperti di Cybersecurity: Lavorare con team di risposta agli incidenti per contenere ed eradicare le minacce.
- Eseguire Risanamenti a Livello Organizzativo: Condurre giornate di risanamento per implementare azioni come la preparazione di una rete pulita, il blocco dei domini e degli IP correlati a NOOPDOOR, il reset delle password degli utenti e la ricostruzione delle macchine infette.
La campagna Cuckoo Spear sottolinea l’importanza di una protezione continua contro le minacce di stato nazione. Implementare misure di sicurezza avanzate e collaborare con esperti di cybersecurity sono passaggi cruciali per difendersi efficacemente da queste minacce persistenti.
