Da gennaio 2022, oltre una dozzina di imprese del complesso militare-industriale e di istituzioni pubbliche in Afghanistan e in Europa sono state oggetto di un’ondata di attacchi mirati per rubare dati riservati utilizzando contemporaneamente sei diverse backdoor.
L’azienda russa di cybersicurezza Kaspersky ha attribuito gli attacchi “con un alto grado di certezza” a un attore di minacce legato alla Cina, rintracciato da Proofpoint come TA428, citando sovrapposizioni di tattiche, tecniche e procedure (TTP).
Tra gli obiettivi dell’ultima campagna di cyberspionaggio figurano stabilimenti industriali, uffici di progettazione e istituti di ricerca, agenzie governative, ministeri e dipartimenti in diversi Paesi dell’Europa orientale e in Afghanistan.
Le catene di attacco prevedevano la penetrazione nelle reti informatiche aziendali utilizzando e-mail di phishing accuratamente realizzate, tra cui alcune che facevano riferimento a informazioni non pubbliche relative alle organizzazioni, per indurre i destinatari ad aprire documenti Microsoft Word non corretti.
Questi file esca sono dotati di exploit per una falla di corruzione della memoria del 2017 nel componente Equation Editor (CVE-2017-11882) che potrebbe portare all’esecuzione di codice arbitrario nei sistemi interessati, portando infine alla distribuzione di una backdoor chiamata PortDoor. PortDoor è stata utilizzata in particolare negli attacchi di spear-phishing condotti da hacker sponsorizzati dallo Stato cinese nell’aprile 2021 per penetrare nei sistemi di un appaltatore della difesa che progetta sottomarini per la Marina russa.
L’uso di sei diversi impianti, ha osservato Kaspersky, è probabilmente un tentativo da parte degli attori della minaccia di stabilire canali ridondanti per il controllo degli host infetti nel caso in cui uno di essi venga rilevato e rimosso dalle reti. Le intrusioni culminano con il dirottamento del controller di dominio da parte dell’aggressore, che ottiene il controllo completo di tutte le workstation e i server dell’organizzazione e sfrutta l’accesso privilegiato per esfiltrare file di interesse sotto forma di archivi ZIP compressi verso un server remoto situato in Cina.
Le altre backdoor utilizzate negli attacchi includono nccTrojan, Cotx, DNSep, Logtu e un malware precedentemente non documentato denominato CotSam, così chiamato per le sue somiglianze con Cotx. Ognuno di essi fornisce funzionalità estese per il controllo dei sistemi e la raccolta di dati sensibili. Negli attacchi è incorporato anche Ladon, un framework di hacking per il movimento laterale che consente all’avversario di scansionare i dispositivi nella rete e di sfruttare le vulnerabilità di sicurezza in essi presenti per eseguire codice dannoso.
“Lo spear-phishing rimane una delle minacce più rilevanti per le imprese industriali e le istituzioni pubbliche”, ha dichiarato Kaspersky. “Gli aggressori hanno utilizzato principalmente malware backdoor noti, oltre a tecniche standard per il movimento laterale e l’elusione delle soluzioni antivirus”. “Allo stesso tempo, sono stati in grado di penetrare in decine di aziende e di prendere il controllo dell’intera infrastruttura IT e delle soluzioni di sicurezza IT di alcune delle organizzazioni attaccate”.
Le scoperte arrivano poco più di due mesi dopo che gli attori di Twisted Panda sono stati osservati mentre prendevano di mira gli istituti di ricerca in Russia e Bielorussia per rilasciare una backdoor semplice, chiamata Spinner.
