Cisco Talos ha identificato una nuova e occulta campagna di spionaggio, probabilmente attiva da marzo 2021, che coinvolge un’organizzazione non profit islamica attraverso l’uso di backdoor per una famiglia di malware finora non segnalata, denominata “Zardoor”. Si ritiene che un attore di minaccia avanzato stia conducendo questo attacco, utilizzando la backdoor personalizzata Zardoor, strumenti proxy inversi modificati e riuscendo a evitare il rilevamento per diversi anni.
Utilizzo di Binari Living-off-the-Land
Durante la campagna, l’avversario ha impiegato binari living-off-the-land (LoLBins) per distribuire backdoor, stabilire un comando e controllo (C2) e mantenere la persistenza. Finora, è stato scoperto solo un obiettivo compromesso, ma la capacità dell’attore di minaccia di mantenere l’accesso a lungo termine alla rete della vittima senza essere scoperto suggerisce che potrebbero esserci altri obiettivi.
Attività Osservata
La campagna di spionaggio è stata rilevata per la prima volta a maggio 2023, mirata a un’organizzazione caritatevole islamica in Arabia Saudita, che esfiltrava dati circa due volte al mese. L’attore di minaccia ha eseguito un malware denominato “Zardoor” per guadagnare persistenza, stabilendo poi un C2 utilizzando strumenti proxy inversi open-source come Fast Reverse Proxy (FRP), sSocks e Venom, uno strumento client-server proxy socks5 inverso originariamente sviluppato per tester di penetrazione.
Flusso di Esecuzione di Zardoor
Per mantenere la persistenza, l’attaccante ha distribuito una famiglia di backdoor precedentemente non vista che abbiamo chiamato Zardoor. Basandoci sull’analisi di campioni disponibili con una sequenza di esecuzione e nomi di file identici all’attività maliziosa osservata e possibilmente correlata all’attacco, abbiamo ricostruito il flusso di esecuzione della backdoor Zardoor.
Implicazioni per la Sicurezza
Questa nuova ondata di attacchi sottolinea l’evoluzione continua delle tattiche di cyber spionaggio dell’attore di minaccia e la crescente sofisticatezza degli strumenti utilizzati per condurre operazioni offensive nel cyberspazio. La scoperta di Zardoor pone importanti domande sulla sicurezza delle organizzazioni e sull’efficacia delle misure di difesa attuali contro tali minacce avanzate.