APT31, noto anche come Bronze Vinewood, Judgement Panda o Violet Typhoon, è stato collegato a una serie di backdoor avanzate capaci di esfiltrare informazioni sensibili raccolte su Dropbox. Questo malware fa parte di una collezione più ampia di oltre 15 impianti utilizzati dal gruppo in attacchi mirati nel 2022.
Tecniche e obiettivi degli attacchi
Gli attacchi di APT31 miravano a stabilire un canale permanente per l’esfiltrazione dei dati, inclusi quelli memorizzati su sistemi isolati dalla rete. Kaspersky ha evidenziato come APT31 abbia utilizzato tecniche precedentemente non documentate. Gli attacchi utilizzano un stack di malware a tre fasi, ognuna focalizzata su aspetti diversi della catena di attacco: stabilire la persistenza, raccogliere dati sensibili e trasmettere le informazioni a un server remoto sotto il controllo degli aggressori.
Funzionalità delle backdoor
Alcune varianti delle backdoor di seconda fase sono dotate di funzionalità progettate per cercare nomi di file nella cartella Microsoft Outlook, eseguire comandi remoti e utilizzare il componente di terza fase per completare l’esfiltrazione dei dati sotto forma di file di archivio RAR. Kaspersky ha spiegato che il primo passo viene utilizzato per la persistenza, il dispiegamento e l’avvio del modulo di malware di seconda fase.
Uso innovativo dei server di comando e controllo
APT31 ha utilizzato un server di comando e controllo (C2) all’interno del perimetro aziendale, utilizzandolo come proxy per sottrarre dati da sistemi che non avevano accesso diretto a Internet. Ciò indica tentativi chiari di individuare host isolati dalla rete. Kaspersky ha anche identificato strumenti aggiuntivi utilizzati dall’attaccante per caricare manualmente i dati su Yandex Disk e altri servizi di condivisione di file temporanei.
Implicazioni e rischi
Queste scoperte evidenziano la pianificazione meticolosa e la capacità dell’attore minaccioso di adattarsi e sviluppare nuove capacità nelle loro attività di cyber spionaggio. L’abuso di popolari storage basati su cloud potrebbe permettere agli attori minacciosi di eludere le misure di sicurezza, ma al contempo potrebbe esporre i dati rubati a ulteriori fughe di informazioni.