L’industria e le agenzie governative legate al settore dei trasporti sono vittime di una campagna in corso dal luglio 2020 da parte di un gruppo di cyber-spionaggio sofisticato e ben attrezzato.
Earth Centaur, noto anche con i nomi Pirate Panda e Tropic Trooper, è un gruppo di minaccia di lunga data focalizzato sul furto di informazioni e lo spionaggio che ha condotto campagne mirate contro il governo, la sanità, i trasporti e le industrie high-tech a Taiwan, Filippine e Hong Kong, dal 2011.
Gli agenti ostili, che si ritiene provenire dalla Cina, sono noti per il loro uso di email di spear-phishing con allegati attrezzati per sfruttare le vulnerabilità conosciute, mentre contemporaneamente impiegano i loro strumenti dannosi con offuscamento, furtività e potenza di attacco.
Nel maggio 2020, gli operatori sono stati osservati mentre mettevano a punto le loro strategie di attacco, distribuendo un trojan USB soprannominato USBFerry per colpire le reti fisicamente isolate appartenenti a istituzioni governative ed enti militari a Taiwan e nelle Filippine, nel tentativo di trafugare dati sensibili attraverso unità flash rimovibili.
L’ultima sequenza di intrusione a più stadi dettagliata da Trend Micro coinvolge il gruppo che si rivolge a sfruttare le vulnerabilità dei server Internet Information Services (IIS) unitamente ai difetti del server di posta Exchange con il fine di ottenere punti di ingresso per installare una shell web che viene poi sfruttata per fornire sul sistema compromesso un caricatore Nerapack basato su .NET e una backdoor di primo stadio nota come Quasar.
Da lì, gli aggressori seguono sfruttando un arsenale di impianti di secondo stadio come ChiserClient, SmileSvr, ChiserClient, HTShell, e versioni su misura di Lilith RAT e Gh0st RAT a seconda della vittima per recuperare ulteriori istruzioni da un server remoto, scaricare ulteriori carichi utili, eseguire operazioni sui file, eseguire comandi arbitrari ed esfiltrare i risultati al server.
Non finisce qui. Dopo aver bucato con successo il sistema, Tropic Trooper tenta anche di violare la rete intranet, scaricare le credenziali e cancellare i registri degli eventi dalle macchine infette utilizzando un set specifico di strumenti. Viene utilizzato anche un programma a riga di comando chiamato Rclone che consente agli autori dell’attacco di copiare i dati raccolti su diversi provider di cloud storage.