Dopo più di sei mesi di inattività, un gruppo di hacker sponsorizzato dallo stato cinese è tornato alla ribalta con una nuova campagna mirata che colpisce settori chiave in diversi paesi asiatici e del Pacifico. Le tattiche malware avanzate utilizzate dal gruppo Earth Longzhi mettono in allarme la sicurezza informatica a livello globale.
Il gruppo di hacker Earth Longzhi e la sua nuova campagna
La società di cybersecurity Trend Micro ha attribuito la recente serie di intrusioni al gruppo di cyber spionaggio Earth Longzhi, un sottogruppo all’interno di APT41 (conosciuto anche come HOODOO o Winnti) che condivide somiglianze con altri cluster come Earth Baku, SparklingGoblin e GroupCC. Earth Longzhi era stato documentato per la prima volta da Trend Micro nel novembre 2022, quando aveva attaccato varie organizzazioni situate in Asia orientale e sudorientale, nonché in Ucraina.
Tecniche avanzate di attacco utilizzate da Earth Longzhi
Le catene di attacco del gruppo hacker sfruttano applicazioni vulnerabili accessibili al pubblico come punti di ingresso per distribuire il web shell BEHINDER e successivamente utilizzare quell’accesso per rilasciare payload aggiuntivi, tra cui una nuova variante di un loader Cobalt Strike chiamata CroxLoader. “Questa recente campagna […] abusa di un eseguibile Windows Defender per eseguire il sideloading delle DLL e sfrutta un driver vulnerabile, zamguard.sys, per disabilitare i prodotti di sicurezza installati sugli host tramite un attacco di tipo bring your own vulnerable driver (BYOVD)”, ha affermato Trend Micro.
SPHijacker, il malware in continua evoluzione
Il malware SPHijacker impiega un secondo metodo, chiamato “stack rumbling”, per raggiungere lo stesso obiettivo, che consiste nel modificare il registro di Windows per interrompere l’esecuzione dei processi e causare deliberatamente il crash delle applicazioni bersaglio al momento dell’avvio. Trend Micro spiega che si tratta di un tipo di attacco denial-of-service che abusa di valori non documentati di MinimumStackCommitInBytes nella chiave di registro Image File Execution Options (IFEO).
L’uso di tecniche avanzate per eludere la sicurezza
Le tecniche utilizzate da Earth Longzhi sono solo alcuni dei metodi che possono essere impiegati per compromettere i prodotti di sicurezza. Deep Instinct, il mese scorso, ha descritto una nuova tecnica di iniezione di codice chiamata Dirty Vanity che sfrutta il meccanismo di forking remoto in Windows per eludere i sistemi di rilevamento degli endpoint.
Dirty Vanity, una nuova tecnica per aggirare i sistemi di sicurezza
Dirty Vanity è una tecnica che sfrutta il meccanismo di forking remoto in Windows per iniettare codice malevolo nel sistema, rendendo difficile per i sistemi di sicurezza rilevare e contrastare l’attacco. Questa tecnica consente agli attaccanti di eludere i sistemi di rilevamento degli endpoint e mettere a rischio la sicurezza dei dispositivi e delle reti aziendali.
La continua evoluzione delle minacce informatiche
Il gruppo Earth Longzhi è solo un esempio della continua evoluzione delle minacce informatiche e delle tecniche utilizzate per attaccare le organizzazioni e le infrastrutture critiche. Gli esperti di sicurezza e le aziende devono essere sempre aggiornati sulle ultime tattiche, tecniche e procedure (TTP) utilizzate dagli attaccanti e implementare soluzioni di sicurezza efficaci per proteggere le proprie risorse.
L’importanza della collaborazione e della condivisione delle informazioni
Per contrastare efficacemente le minacce informatiche in continua evoluzione, è fondamentale la collaborazione tra organizzazioni, esperti di sicurezza e governi. La condivisione di informazioni sulle ultime minacce e le relative contromisure può aiutare a rafforzare la sicurezza informatica a livello globale e proteggere le infrastrutture critiche da attacchi sempre più sofisticati.
