All’inizio di quest’anno, Trend Micro ha indagato su una violazione della sicurezza subita da un’azienda di Taiwan. Gli attori delle minacce hanno utilizzato un loader Cobalt Strike personalizzato nell’attacco. Ulteriori analisi hanno rivelato che lo stesso attore delle minacce ha preso di mira più regioni utilizzando un loader Cobalt Strike simile ed è attivo dal 2020. Gli esperti hanno attribuito gli attacchi a un nuovo sottogruppo del gruppo APT41, legato alla Cina e identificato come Earth Longzhi. I ricercatori hanno analizzato due campagne attribuite a Earth Longzhi; la prima, condotta tra il 2020 e il 2021, ha preso di mira il governo, le infrastrutture e le industrie sanitarie di Taiwan e il settore bancario in Cina. La seconda campagna, condotta tra il 2021 e il 2022, ha preso di mira vittime di alto profilo nei settori della difesa, dell’aviazione, delle assicurazioni e dello sviluppo urbano a Taiwan, in Cina, Thailandia, Malesia, Indonesia, Pakistan e Ucraina.
Il nuovo gruppo APT ha utilizzato le e-mail di spear-phishing come vettore di attacco per diffondere il malware di Earth Longhzhi. Il malware era incorporato in un archivio protetto da password allegato ai messaggi. In altri casi, gli aggressori hanno condiviso un link a un Google Drive che ospitava un archivio protetto da password contenente un loader Cobalt Strike chiamato CroxLoader. In un altro scenario di attacco, il gruppo ha sfruttato applicazioni disponibili pubblicamente per distribuire ed eseguire un downloader, che scarica un loader di shellcode e gli strumenti di hacking necessari per la routine. I ricercatori hanno notato che la nuova APT prende di mira organizzazioni che in passato erano state colpite da un altro gruppo di APT41 noto come Earth Baku. “Dopo aver controllato tutti i metadati dei payload di Cobalt Strike, abbiamo scoperto che la maggior parte dei payload condivideva lo stesso watermark, 426352781, e la chiave pubblica 9ee3e0425ade426af0cb07094aa29ebc. Questa combinazione di watermark e chiave pubblica è utilizzata anche da Earth Baku e GroupCC, anch’essi ritenuti sottogruppi di APT41. Il watermark identificato non è ancora stato attribuito ad altri attori della minaccia”, si legge nell’analisi pubblicata da Trend Micro. “L’uso dello stesso watermark e della stessa chiave pubblica indica che Earth Longzhi condivide il server del team Cobalt Strike, nonché il pacchetto Cobalt Strike e la licenza con gli altri sottogruppi di APT41”.
L’indagine sulla seconda campagna ha rivelato che l’APT Earth Longzhi ha utilizzato più versioni personalizzate di strumenti di hacking noti utilizzati per l’escalation dei privilegi (PrintNightmare e PrintSpoofer), il dumping delle credenziali (Mimikatz standalone personalizzato) e la disabilitazione dei prodotti di sicurezza. Invece di utilizzare gli strumenti pubblici così come sono, gli attori delle minacce sono in grado di reimplementare o sviluppare i propri strumenti sulla base di alcuni progetti open-source. Nelle sottosezioni seguenti presentiamo questi strumenti di hacking. “Nel processo di attribuzione, abbiamo anche scoperto che il gruppo utilizza licenze Cobalt Strike condivise e imita i TTP utilizzati da altri sottogruppi APT41”, conclude il rapporto. “Il comportamento di condivisione di strumenti tra gruppi diversi potrebbe indicare le seguenti circostanze:
- Questi attori delle minacce non sono più gruppi statici. Anche se la struttura organizzativa continuerà a cambiare di volta in volta, gli strumenti saranno ereditati dai successivi gruppi di nuova organizzazione.
- Gli sviluppatori di strumenti e gli operatori delle campagne condividono gli strumenti con i gruppi di collaboratori”.
