Secondo i ricercatori di Trend Micro, un gruppo APT nation state sponsorizzato dal governo cinese avrebbe lanciato attacchi di spear phishing per colpire i settori dell’istruzione, del governo e della ricerca a livello globale.
In particolare come si legge nel rapporto, gli attaccanti nel periodo tra marzo e ottobre 2022 avrebbero distribuito tramite link di Google Drive dei malware archiviati in file .rar, .zip e .jar, colpendo in particolar modo Giappone, Australia, Myanmar, Taiwan e Filippine (l’Italia sarebbe stata coinvolta solo marginalmente).
Il flusso di attacco
L’attore delle minacce tentava di ottenere l’accesso alla reti target attraverso documenti rubati usati come esca per indurre le organizzazioni prese di mira a scaricare ed eseguire i malware.
Oltre a sfruttare argomenti di eventi internazionali in corso riguardanti organizzazioni specifiche, gli aggressori attiravano anche singoli individui con argomentazioni di tipo pornografico.
Inoltre, gli attori avrebbero sfruttano per eludere il rilevamento e l’analisi, l’offuscamento del codice e gestori di eccezioni personalizzati.
I messaggi di phishing che talvolta venivano anche inviati da account e-mail precedentemente compromessi e appartenenti a entità specifiche per accrescere la probabilità di successo, contenevano come detto file di archivio con documenti che attiravano l’attenzione delle vittime.
“Sulla base dei documenti di esempio utilizzati per adescare le vittime, riteniamo inoltre che gli aggressori siano stati in grado di condurre ricerche e, potenzialmente, precedenti violazioni sulle organizzazioni target che hanno consentito la familiarità” , si legge sul rapporto.
La decompressione degli archivi caricava, in background, il malware tramite il DLL sideloading, fornendo la base per scaricare i payload di seconda fase.
I ceppi di malware usati sono stati PubLoad e TONESHELL (backdoor installata tramite il loader di shellcode TONEINS) e la persistenza veniva stabilita con con l’aggiunta di una chiave di esecuzione del registro e la creazione di un’attività pianificata.
In figura un esempio DLL sideloading ottenuto tramite l’eseguibile legittimo putty.exe per il rilascio della DLL CefBrowser (TONESHELL).
La matrice dell’attacco
I ricercatori hanno affermato che il gruppo responsabile degli attacchi, identificato come Earth Preta adotterebbe delle TTP (Tattiche, Tecniche e Procedure) simili al gruppo APT Bronze President (Mustang Panda), evolvendo continuamente le sue tattiche di attacco per eludere il rilevamento e utilizzare metodi di infezione mediante famiglie di malware personalizzabili.
Conclusioni
Come parte dei piani di mitigazione dell’organizzazione, i ricercatori consigliano di:
- implementare continui corsi di formazione sulla sensibilizzazione al phishing per partner e dipendenti;
- di controllare sempre il mittente e l’oggetto prima di aprire un’email, soprattutto con mittente non identificabile o oggetto sconosciuto;
- di impiegare una soluzione di protezione a più livelli per rilevare e bloccare le minacce il più a precocemente possibile lungo la catena di infezione.
Trend Micro ha reso disponibile l’elenco completo degli IoC.
