Entità governative in Medio Oriente e Africa sono state oggetto di attacchi di cyber-spionaggio che sfruttano tecniche mai viste prima e rare per il furto di credenziali e l’esfiltrazione di email Exchange. “L’obiettivo principale degli attacchi era ottenere informazioni altamente riservate e sensibili, specificamente relative a politici, attività militari e ministeri degli affari esteri”, ha detto Lior Rochberger, senior threat researcher presso Palo Alto Networks.
Tecniche avanzate di attacco
Il team di ricerca sulle minacce di Cortex di Palo Alto Networks sta monitorando l’attività sotto il nome temporaneo CL-STA-0043 (dove CL sta per cluster e STA per motivazione sostenuta dallo stato), descrivendola come una “vera minaccia persistente avanzata”. La catena di infezione è innescata dall’exploit di servizi vulnerabili di Internet Information Services (IIS) e Microsoft Exchange per infiltrarsi nelle reti target.
Cambio di tattiche e attività di ricognizione
Palo Alto Networks ha rilevato tentativi falliti di eseguire il web shell China Chopper in uno degli attacchi, spingendo l’avversario a cambiare tattica e sfruttare un impianto di script Visual Basic in memoria dal server Exchange. Un’intrusione riuscita è seguita da un’attività di ricognizione per mappare la rete e individuare i server critici che detengono dati di valore, tra cui controller di dominio, server web, server Exchange, server FTP e database SQL.
Elevazione dei privilegi e furto di credenziali
CL-STA-0043 è stato anche osservato sfruttare strumenti nativi di Windows per l’escalation dei privilegi, permettendogli di creare account amministrativi ed eseguire altri programmi con privilegi elevati. Un altro metodo di escalation dei privilegi comporta l’abuso delle funzionalità di accessibilità di Windows, ovvero l’utilità “sticky keys” (sethc.exe), che consente di bypassare i requisiti di login e di backdoor nei sistemi.
Tecniche innovative di furto di password e movimento laterale
Oltre all’uso di Mimikatz per il furto di credenziali, il modus operandi dell’attore della minaccia si distingue per l’utilizzo di altri metodi innovativi per rubare password, condurre movimenti laterali ed esfiltrare dati sensibili, come l’uso di provider di rete per eseguire una DLL malevola per raccogliere ed esportare password in chiaro a un server remoto, l’uso di un toolset di test di penetrazione open source chiamato Yassoper diffondersi nella rete, e l’uso dello Exchange Management Shell e dei snap-in PowerShell per raccogliere email di interesse.
Un attore di minaccia APT altamente capace
“La sofisticazione, l’adattabilità e la vittimologia di questo gruppo di attività suggeriscono un attore di minaccia APT altamente capace, e si sospetta che sia un attore di minaccia sponsorizzato da uno stato”, ha detto Rochberger. È importante sottolineare che l’uso dei snap-in PowerShell di Exchange per esportare i dati delle caselle di posta è stato precedentemente riportato nel caso di un gruppo sponsorizzato dallo stato cinese chiamato Silk Typhoon (precedentemente Hafnium), che è venuto alla luce nel marzo 2021 in connessione con l’exploit del Microsoft Exchange Server.