L’inizio dell’attuale campagna di Cicada è stato rintracciato a metà del 2021 ed era ancora attivo nel febbraio 2022. I ricercatori dicono che questa attività potrebbe continuare oggi.
Ci sono prove che alcuni accessi iniziali ad alcune delle reti violate erano attraverso un server Microsoft Exchange, indicando che l’attore ha sfruttato una vulnerabilità nota su macchine senza patch.
I ricercatori di Symantec, una divisione di Broadcom, hanno scoperto che, dopo aver ottenuto l’accesso alla macchina bersaglio, l’attaccante ha distribuito un caricatore personalizzato sui sistemi compromessi con l’aiuto del popolare lettore multimediale VLC.
L‘attaccante utilizza una versione pulita di VLC con un file DLL dannoso nello stesso percorso delle funzioni di esportazione del lettore multimediale.
La tecnica è nota come DLL side-loading ed è ampiamente utilizzata dagli attori di minacce per caricare malware in processi legittimi per nascondere l’attività dannosa.
Oltre al caricatore personalizzato, visto in attacchi precedenti atrribuiti a Cicada/APT10, l’avversario ha anche distribuito un server WinVNC per ottenere il controllo remoto sui sistemi delle vittime.
L’attaccante ha anche eseguito la backdoor Sodamaster sulle reti compromesse, uno strumento che si ritiene essere utilizzato esclusivamente dal gruppo di minacce Cicada almeno dal 2020.
Sodamaster viene eseguito nella memoria di sistema (fileless) ed è in grado di eludere il rilevamento cercando nel registro di sistema indizi di un ambiente sandbox o ritardando la sua esecuzione.
Il malware può anche raccogliere dettagli sul sistema, cercare processi in esecuzione e scaricare ed eseguire vari payload dal server di comando e controllo.
Diverse altre utilità sono state osservate in questa campagna includono:
- Strumento di archiviazione RAR – aiuta a comprimere, crittografare o archiviare i file, probabilmente per l’esfiltrazione
- System/Network discovery – un modo per gli attaccanti di conoscere i sistemi o i servizi collegati a una macchina infetta
- WMIExec – strumento a riga di comando Microsoft che può essere utilizzato per eseguire comandi su computer remoti
- NBTScan – uno strumento open-source che è stato osservato essere utilizzato da gruppi APT per la ricognizione in una rete compromessa
- Il tempo di permanenza degli attaccanti sulle reti di alcune delle vittime scoperte è durato fino a nove mesi, notano i ricercatori in un rapporto di oggi.
Molte delle organizzazioni prese di mira in questa campagna sembrano essere legate al governo o alle ONG (coinvolte in attività educative o religiose), così come le aziende nei settori delle telecomunicazioni, legale e farmaceutico.
I ricercatori di Symantec evidenziano l’ampia geografia di questa campagna Cicada, che conta vittime negli Stati Uniti, Canada, Hong Kong, Turchia, Israele, India, Montenegro e Italia.
Da notare che solo una vittima proviene dal Giappone, un paese che è stato l’obiettivo del gruppo Cicada per molti anni.
Rispetto al precedente targeting di questo gruppo, che si concentrava su aziende collegate al Giappone, le vittime di questa campagna indicano che l’attore della minaccia ha ampliato il suo interesse.
Pur concentrandosi sulle aziende collegate al Giappone, Cicada ha preso di mira in passato i settori della sanità, della difesa, dell’aerospaziale, della finanza, del mare, delle biotecnologie, dell’energia e del governo.
Almeno due membri del gruppo di minaccia APT10 sono stati accusati negli Stati Uniti per attività di hacking informatico per aiutare il Tianjin State Security Bureau del Ministero della Sicurezza di Stato cinese (MSS) a ottenere proprietà intellettuale e informazioni commerciali riservate da fornitori di servizi gestiti, agenzie governative statunitensi e oltre 45 aziende tecnologiche.
