Sommario
Un gruppo di cyber attaccanti che utilizza strumenti associati a gruppi di spionaggio collegati alla Cina ha compromesso diverse reti di operatori telecomunicazioni in un paese asiatico, nell’ambito di una campagna di spionaggio in corso. Gli attaccanti hanno posizionato backdoor nelle reti delle aziende target e hanno tentato di rubare credenziali.
Durata e target degli Attacchi
Gli attacchi sono in corso almeno dal 2021, con prove che suggeriscono attività che potrebbero risalire al 2020. Quasi tutte le organizzazioni prese di mira erano operatori di telecomunicazioni, con l’aggiunta di un’azienda di servizi per il settore delle telecomunicazioni e una università in un altro paese asiatico.
Strumenti utilizzati
Sono stati utilizzati vari malware personalizzati associati a gruppi di spionaggio cinesi, tra cui:
- Coolclient: Una backdoor associata al gruppo Fireant (alias Mustang Panda, Earth Preta), con funzionalità che includono logging di tasti, lettura e cancellazione di file e comunicazione con un server di comando e controllo (C&C). Varianti della backdoor usate in questa campagna sono simili a quelle documentate da Trend Micro nel 2023. Un player VLC legittimo mascherato da file Google (googleupdate.exe) è stato utilizzato per caricare un loader Coolclient (libvlc.dll), che legge un payload cifrato da un file denominato loader.ja.
- Quickheal: Una backdoor associata al gruppo Needleminer (alias RedFoxtrot, Nomad Panda). La variante di Quickheal usata in questa campagna era un DLL a 32 bit denominato RasTls.dll, che aveva un export chiamato GetOfficeDatatal. Il malware comunicava con un server C&C hardcoded swiftandfast.net tramite la porta TCP 443, usando un protocollo di comunicazione personalizzato che sembrava traffico SSL.
- Rainyday: Una backdoor associata al gruppo Firefly (alias Naikon). La maggior parte delle varianti di Rainyday usate durante la campagna venivano eseguite tramite un loader chiamato fspmapi.dll, sideloadato usando un eseguibile F-Secure legittimo denominato fsstm.exe.
Altre Tecniche e Procedure
Oltre alle backdoor personalizzate, gli attaccanti hanno usato una varietà di altre tecniche, tattiche e procedure (TTP):
- Malware keylogging
- Scansione delle porte: Almeno tre strumenti di scansione delle porte distinti sono stati utilizzati
- Furto di credenziali tramite dumping dei registry hives
- Utilizzo di Responder, un tool disponibile pubblicamente, per avvelenare i servizi LLMNR, NetBIOS e mDNS
- Abilitazione di RDP
Collegamenti ai Gruppi di Spionaggio Cinesi
Gli strumenti utilizzati in questa campagna hanno forti associazioni con vari gruppi di spionaggio cinesi. Coolclient è legato al gruppo Fireant, Quickheal è associato al gruppo Needleminer e Rainyday è sempre stato utilizzato dal gruppo Firefly. Tutti e tre i gruppi sono ampiamente considerati da diverse aziende di sicurezza, inclusa Symantec, come operativi dalla Cina.
Motivi e Obiettivi
Il motivo finale della campagna di intrusione rimane poco chiaro. Gli attaccanti potrebbero essere stati intenti a raccogliere informazioni sul settore delle telecomunicazioni nel paese target, intercettare comunicazioni, o sviluppare capacità di disturbo contro infrastrutture critiche.
