Le agenzie di sicurezza informatica e di intelligence statunitensi hanno rivelato martedì che diversi gruppi di hacker di Stati nazionali hanno potenzialmente preso di mira la rete aziendale di un’organizzazione del settore “Defense Industrial Base (DIB)” nell’ambito di una campagna di spionaggio informatico. Gli attori di “Advanced persistent threat” hanno utilizzato un toolkit open-source chiamato Impacket per prendere piede nell’ambiente e compromettere ulteriormente la rete, oltre a utilizzare uno strumento di esfiltrazione dei dati personalizzato, CovalentStealer, per rubare i dati sensibili della vittima”, hanno dichiarato le autorità. L’advisory congiunto, redatto dalla Cybersecurity and Infrastructure Security Agency (CISA), dal Federal Bureau of Investigation (FBI) e dalla National Security Agency (NSA), afferma che gli avversari hanno probabilmente avuto accesso a lungo termine all’ambiente compromesso. I risultati sono il frutto degli sforzi di risposta agli incidenti compiuti dal CISA in collaborazione con la società di cybersicurezza Mandiant dal novembre 2021 al gennaio 2022.
Il CISA non ha attribuito l’intrusione a un attore o a un gruppo di minacce noto. Anche il vettore di infezione iniziale utilizzato per violare la rete è sconosciuto, anche se si dice che alcuni attori APT abbiano ottenuto una testa di ponte digitale sul Microsoft Exchange Server dell’obiettivo già a metà gennaio 2021. Le successive attività post-sfruttamento di febbraio hanno comportato un mix di ricognizione e raccolta di dati, quest’ultima con conseguente esfiltrazione di informazioni sensibili relative al contratto. In questa fase è stato utilizzato anche lo strumento Impacket per stabilire la persistenza e facilitare il movimento laterale. Un mese dopo, gli attori dell’APT hanno sfruttato la falla ProxyLogon in Microsoft Exchange Server per installare 17 web shell China Chopper e HyperBro, una backdoor utilizzata esclusivamente da un gruppo di minacce cinese chiamato Lucky Mouse (alias APT27, Bronze Union, Budworm o Emissary Panda).
Gli intrusi, dalla fine di luglio alla metà di ottobre 2021, hanno inoltre utilizzato un ceppo di malware su misura chiamato CovalentStealer contro l’entità senza nome per trafugare i documenti archiviati nelle condivisioni di file e caricarli in una cartella cloud di Microsoft OneDrive. Si raccomanda alle organizzazioni di monitorare i registri per verificare la presenza di connessioni da VPN insolite, l’utilizzo di account sospetti, l’uso anomalo e noto di righe di comando dannose e le modifiche non autorizzate agli account utente.
