Un attore minaccioso precedentemente non documentato è stato collegato a una serie di attacchi mirati a organizzazioni nei settori della produzione, IT e biomedicina a Taiwan. Il Symantec Threat Hunter Team, parte di Broadcom, ha attribuito gli attacchi a un’advanced persistent threat (APT) che monitora con il nome di Grayling. Le prove indicano che la campagna è iniziata a febbraio 2023 e si è protratta almeno fino a maggio 2023.
Dettagli dell’attacco e obiettivi
Oltre a Taiwan, è probabile che siano stati presi di mira anche un’agenzia governativa situata nelle Isole del Pacifico e entità in Vietnam e negli Stati Uniti. L’attività di Grayling si è distinta per l’uso di una particolare tecnica di side-loading DLL che utilizza un decryptor personalizzato per distribuire payload. La motivazione dietro queste attività sembra essere la raccolta di informazioni.
Gli attacchi iniziano sfruttando infrastrutture pubbliche, seguiti dal dispiegamento di web shell per un accesso persistente. Successivamente, gli attacchi sfruttano il side-loading DLL tramite SbieDll_Hook per caricare una varietà di payload, tra cui Cobalt Strike, NetSpy e il framework Havoc, insieme ad altri strumenti come Mimikatz. Grayling è stato anche osservato nell’eliminare tutti i processi elencati in un file chiamato processlist.txt.
Tecniche utilizzate
Il side-loading DLL è una tecnica popolare utilizzata da vari attori minacciosi per aggirare le soluzioni di sicurezza e ingannare il sistema operativo Windows affinché esegua codice dannoso sul punto finale target. Questo viene spesso realizzato posizionando una DLL dannosa con lo stesso nome di una DLL legittima utilizzata da un’applicazione in una posizione in cui verrà caricata prima della DLL effettiva.
Una volta ottenuto l’accesso iniziale ai computer delle vittime, gli aggressori compiono varie azioni, tra cui l’escalation dei privilegi, la scansione della rete e l’utilizzo di downloader. L’uso del side-loading DLL in relazione a SbieDll_Hook e SandboxieBITS.exe è stato precedentemente osservato nel caso di Naikon APT in attacchi mirati a organizzazioni militari nel sud-est asiatico.
Non ci sono prove che suggeriscano che l’avversario abbia effettuato alcuna forma di esfiltrazione di dati fino ad oggi, suggerendo che i motivi sono più orientati verso la ricognizione e la raccolta di informazioni. L’uso di strumenti pubblicamente disponibili è visto come un tentativo di complicare gli sforzi di attribuzione, mentre la terminazione del processo indica l’evasione della rilevazione come una priorità per rimanere sotto il radar per lunghi periodi di tempo.
Il pesante targeting delle organizzazioni taiwanesi indica che probabilmente operano da una regione con un interesse strategico a Taiwan.