Un sospetto attore cinese sponsorizzato dallo Stato ha violato un’autorità di certificazione digitale e agenzie governative e di difesa situate in diversi Paesi dell’Asia, nell’ambito di una campagna in corso almeno dal marzo 2022. Symantec, di Broadcom Software, ha collegato gli attacchi a un gruppo di avversari che traccia con il nome di Billbug, citando l’uso di strumenti precedentemente attribuiti a questo attore. L’attività sembra essere guidata dallo spionaggio e dal furto di dati, anche se finora non sono stati rubati dati.
Billbug, chiamato anche Bronze Elgin, Lotus Blossom, Lotus Panda, Spring Dragon e Thrip, è un gruppo di minacce persistenti avanzate (APT) che si ritiene operi per conto di interessi cinesi. Tra gli obiettivi principali vi sono organizzazioni governative e militari del Sud-Est asiatico. Gli attacchi sferrati dall’avversario nel 2019 hanno comportato l’uso di backdoor come Hannotog e Sagerunex, con intrusioni osservate a Hong Kong, Macao, Indonesia, Malesia, Filippine e Vietnam.
Entrambi gli impianti sono progettati per garantire un accesso remoto persistente alla rete della vittima, anche se l’attore della minaccia è noto per impiegare un information-stealer noto come Catchamas in casi selezionati per esfiltrare informazioni sensibili. “L’aver preso di mira un’autorità di certificazione è notevole, poiché se gli aggressori riuscissero a comprometterla con successo per accedere ai certificati, potrebbero potenzialmente utilizzarli per firmare il malware con un certificato valido e aiutarlo a evitare il rilevamento sui computer delle vittime”, hanno dichiarato i ricercatori di Symantec in un rapporto condiviso con The Hacker News.
“Potrebbe anche utilizzare i certificati compromessi per intercettare il traffico HTTPS”.
La società di cybersicurezza, tuttavia, ha osservato che non ci sono prove che indichino che Billbug sia riuscito a compromettere i certificati digitali. L’autorità interessata è stata informata dell’attività. L’analisi dell’ultima ondata di attacchi indica che l’accesso iniziale è probabilmente ottenuto attraverso lo sfruttamento di applicazioni rivolte a Internet, dopodiché viene impiegata una combinazione di strumenti su misura e di strumenti “living-off-the-land” per raggiungere gli obiettivi operativi. Questo comprende utility come WinRAR, Ping, Traceroute, NBTscan, Certutil, oltre a una backdoor in grado di scaricare file arbitrari, raccogliere informazioni sul sistema e caricare dati crittografati.
Negli attacchi sono stati rilevati anche uno strumento proxy multi-hop open source chiamato Stowaway e il malware Sagerunex, che viene scaricato sulla macchina tramite Hannotog. La backdoor, da parte sua, è in grado di eseguire comandi arbitrari, rilasciare payload aggiuntivi e trafugare file di interesse.
“La capacità di questo attore di compromettere più vittime contemporaneamente indica che questo gruppo di minacce rimane un operatore esperto e dotato di buone risorse, in grado di condurre campagne sostenute e ad ampio raggio”, concludono i ricercatori.
“Billbug sembra anche non essere scoraggiato dalla possibilità che questa attività gli venga attribuita, e riutilizza strumenti che sono stati collegati al gruppo in passato”.
