Un attore minaccioso con motivazioni finanziarie è stato identificato come un “initial access broker” (IAB) che vende l’accesso a organizzazioni compromesse ad altri avversari per condurre attacchi successivi, come il ransomware. Il gruppo e-crimine, denominato “Gold Melody” da SecureWorks Counter Threat Unit (CTU), è noto anche con i nomi Prophet Spider (CrowdStrike) e UNC961 (Mandiant).
Attività del gruppo Gold Melody
Gold Melody è attivo dal 2017 e compromette le organizzazioni sfruttando vulnerabilità in server esposti su Internet non aggiornati. Le loro azioni suggeriscono attacchi opportunistici per guadagno finanziario piuttosto che campagne mirate condotte da gruppi di minacce sponsorizzati dallo stato per spionaggio, distruzione o interruzione.
Il gruppo è stato precedentemente collegato ad attacchi che sfruttano falle di sicurezza in vari server come JBoss Messaging, Citrix ADC, Oracle WebLogic, GitLab, Citrix ShareFile Storage Zones Controller, Atlassian Confluence, ForgeRock AM e Apache Log4j.
Dal 2020, Gold Melody ha ampliato il suo raggio d’azione, colpendo organizzazioni nei settori del retail, della sanità, dell’energia, delle transazioni finanziarie e dell’alta tecnologia in Nord America, Europa settentrionale e Asia occidentale.
Metodologia e strumenti
Mandiant ha notato che in molteplici istanze, l’attività di intrusione di UNC961 ha preceduto il dispiegamento dei ransomware Maze ed Egregor da parte di attori distinti. Il gruppo è descritto come “risoluto nel suo approccio opportunistico alle operazioni di accesso iniziale”, sfruttando vulnerabilità recentemente divulgate utilizzando codice di exploit pubblicamente disponibile.
Gold Melody utilizza un arsenale diversificato, che comprende web shells, software di sistema operativo integrato e utility pubblicamente disponibili. Inoltre, è noto per l’uso di trojan di accesso remoto proprietari e strumenti di tunneling come GOTROJ, BARNWORK, HOLEDOOR e altri per eseguire comandi arbitrari, raccogliere informazioni sul sistema e stabilire un tunnel inverso con un indirizzo IP codificato.
Gold Melody agisce come un IAB finanziariamente motivato, vendendo l’accesso ad altri attori minacciosi. Questi acquirenti monetizzano successivamente l’accesso, probabilmente attraverso estorsioni tramite il dispiegamento di ransomware. La loro dipendenza dallo sfruttamento di vulnerabilità in server esposti su Internet non aggiornati sottolinea l’importanza di una solida gestione delle patch.