Una campagna di attacchi informatici in corso, con origini dalla Cina, sta prendendo di mira il settore del gioco d’azzardo del Sud-Est asiatico. L’obiettivo è quello di implementare beacon Cobalt Strike nei sistemi compromessi.
Dettagli dell’attacco
La società di cybersecurity SentinelOne ha rivelato che le tattiche, le tecniche e le procedure utilizzate indicano il coinvolgimento di un attore minaccioso noto come “Bronze Starlight” (anche conosciuto come Emperor Dragonfly o Storm-0401). Questo gruppo è stato precedentemente associato all’uso di famiglie di ransomware “short-lived” come diversivo per nascondere i suoi veri motivi di spionaggio.
Gli attaccanti sfruttano eseguibili vulnerabili di Adobe Creative Cloud, Microsoft Edge e McAfee VirusScan per implementare i beacon Cobalt Strike. Questa campagna mostra sovrapposizioni con un set di intrusioni monitorato da ESET sotto il nome di “Operation ChattyGoblin”. Quest’ultima attività condivide similitudini con un attacco alla catena di fornitura emerso l’anno scorso, che sfruttava un installer trojanizzato per l’applicazione Comm100 Live Chat per distribuire un backdoor JavaScript.
Complessità dell’attribuzione
Attribuire l’attacco a un gruppo specifico è complicato a causa delle relazioni interconnesse e della condivisione diffusa di infrastrutture e malware tra vari attori statali cinesi. Gli attacchi sono noti per utilizzare installer modificati per applicazioni di chat per scaricare un loader malware .NET. Questo loader è configurato per recuperare un archivio ZIP di seconda fase dai bucket di Alibaba.
Tecniche utilizzate
Il file ZIP contiene un eseguibile legittimo vulnerabile all'”hijacking dell’ordine di ricerca DLL”, un DLL maligno che viene caricato lateralmente dall’eseguibile quando viene avviato, e un file di dati criptato chiamato agent.data. Questo processo implica l’uso di eseguibili di Adobe Creative Cloud, Microsoft Edge e McAfee VirusScan, che sono vulnerabili all’hijacking DLL per decrittografare ed eseguire il codice incorporato nel file di dati, che implementa un beacon Cobalt Strike.
SentinelOne ha rivelato che uno dei loader malware .NET è firmato con un certificato rilasciato a un provider VPN con sede a Singapore chiamato Ivacy VPN, suggerendo un possibile furto della chiave di firma. Il certificato è stato revocato da Digitcert nel giugno 2023. Gli attori minacciosi connessi alla Cina hanno condiviso in passato malware, infrastrutture e tattiche operative, e continuano a farlo, illustrando la complessa natura del panorama delle minacce cinesi.