Un gruppo di spionaggio cinese sponsorizzato dallo stato, noto come Override Panda, è riemerso nelle ultime settimane con un nuovo attacco di phishing con l’obiettivo di rubare informazioni sensibili.
“L’APT cinese ha usato un’email di spear-phishing per consegnare un beacon di un framework Red Team noto come ‘Viper’“, ha detto Cluster25 in un rapporto pubblicato la scorsa settimana.
“L’obiettivo di questo attacco è attualmente sconosciuto, ma con alta probabilità, data la storia precedente dell’attacco perpetrato dal gruppo, potrebbe essere un’istituzione governativa di un paese dell’Asia meridionale“.
Override Panda, chiamato anche Naikon, Hellsing e Bronze Geneva, è noto per operare per conto degli interessi cinesi almeno dal 2005 per condurre operazioni di raccolta di informazioni contro i paesi ASEAN.
Le catene di attacchi scatenate dall’attore della minaccia hanno coinvolto l’uso di documenti esca allegati alle e-mail di spear-phishing che sono progettati per invogliare le vittime designate ad aprire e compromettersi con il malware.
Attacchi di spionaggio
Lo scorso aprile, il gruppo è stato collegato a una vasta campagna di cyber-spionaggio diretta contro le organizzazioni militari nel sud-est asiatico. Poi, nell’agosto 2021, Naikon è stato coinvolto in cyberattacchi contro il settore delle telecomunicazioni nella regione alla fine del 2020.
L’ultima campagna individuata da Cluster25 non è diversa in quanto sfrutta un documento Microsoft Office armato per dare il via alla killchain dell’infezione che include un caricatore progettato per lanciare uno shellcode, che, a sua volta, inietta un beacon per lo strumento Viper red team.
Disponibile per il download da GitHub, Viper è descritto come uno “strumento grafico di penetrazione intranet, che modularizza e arma le tattiche e le tecnologie comunemente utilizzate nel processo di penetrazione Intranet“.
Il quadro, simile a Cobalt Strike, si dice che presenti oltre 80 moduli per facilitare l’accesso iniziale, la persistenza, l’escalation di privilegi, l’accesso alle credenziali, il movimento laterale e l’esecuzione di comandi arbitrari.
“Osservando l’arsenale di hacking di Naikon APT, si è concluso che questo gruppo tende a condurre operazioni di intelligence e spionaggio a lungo termine, tipiche di un gruppo che mira a condurre attacchi a governi e funzionari stranieri“, hanno sottolineato i ricercatori.
“Per evitare il rilevamento e massimizzare il risultato, ha cambiato diverse [tattiche, tecniche e procedure] e strumenti nel tempo“.
