Broadcom Software scopre una campagna di minacce avanzate persistenti (APT) contro governi selezionati e altri obiettivi di infrastrutture critiche in una pubblicazione intitolata Daxin: Stealthy Backdoor Designed for Attacks Against Hardened Networks. Il team di Symantec Threat Hunter, parte di Broadcom Software, ha lavorato con il CISA per impegnarsi con più governi presi di mira dal malware Daxin e ha assistito nel rilevamento e nella bonifica.
Il malware Daxin è un backdoor rootkit altamente sofisticato con una complessa e furtiva funzionalità di comando e controllo (C2) che ha permesso agli attori remoti di comunicare con dispositivi protetti non collegati direttamente a Internet. Daxin sembra essere ottimizzato per l’uso contro obiettivi hardened, consentendo agli attori di scavare in profondità nelle reti mirate ed esfiltrare i dati senza destare sospetti.
CISA esorta le organizzazioni a rivedere Daxin: Stealthy Backdoor Designed for Attacks Against Hardened Networks per ulteriori informazioni e per una lista di indicatori di compromissione che possono aiutare nel rilevamento di questa attività.
Daxin è un malware attribuito alla Cina, più tecnologicamente avanzato, furtivo e duraturo di qualsiasi altro visto prima dal paese.
La Cina si unisce a nazioni come la Russia nell’avere sforzi separati per operazioni smash-and-grab più rumorose e operazioni stealth appena percettibili. Con la Cina, si apre una classe completamente nuova di vittime: quelle che possono reagire a un attacco in un modo che potrebbe compromettere le missioni in corso.
“Questo è un classico malware guidato dallo spionaggio”
Il malware rimane furtivo, non aprendo nuovi servizi di rete o comunicando in qualsiasi modo che potrebbe sollevare bandiere rosse. Invece, dirotta i legittimi servizi TCP/IP, ascoltando sulla porta 80 per i modelli di traffico che può interpretare come un comando.
Daxin opera come un driver del kernel di Windows. È progettato e “ottimizzato“, dice il rapporto, per l’uso di un singolo comando esterno per saltare da un sistema infetto all’altro su una singola rete con diverse misure di sicurezza messe in atto. Mentre non è insolito utilizzare più sistemi infetti per fare da ponte tra i sistemi, di solito ci vogliono istruzioni individuali da nodo a nodo.
Daxin sembra essere stato in uso continuo fin dal suo sviluppo, con il campione più recente raccolto da Symantec nel novembre 2021. C’è una sovrapposizione di codice con il malware Exforel (a.k.a. Zala), che aveva caratteristiche simili ma meno sicurezza ossessiva e Symantec ora presume provenisse dallo stesso team di sviluppo e che quel team fosse attivo dal 2009.
Al di là della sovrapposizione del codice, tra cui una libreria vista in uso solo in precedenza dall’attore Exforel nel 2019 e 2020, il malware Daxin è stato visto a fianco di un attacco della Owlproxy collegata alla Cina. Nel novembre 2019, quando Daxin non è riuscito a installarsi, gli attaccanti sono passati a Owlproxy in un attacco a una società tecnologica. Il maggio successivo, Daxin e Owlproxy sono stati installati sullo stesso sistema di un’altra azienda tecnologica.
Il blog di Symantec include indicatori di compromissione, nomi di file associati e altro malware visto durante gli attacchi di Daxin.
Symantec ha collaborato con la Cybersecurity and Infrastructure Security Agency attraverso il partenariato pubblico/privato Joint Cyber Defence Collaborative per stabilire collegamenti con i governi stranieri su quali potenziali vittime Symantec ha rilevato.
