Gli esperti di Bitdefender hanno scoperto un potenziale gruppo APT cinese che prende di mira i governi dell’Asia Sud-Orientale attraverso una sofisticata infrastruttura di attacco, attualmente ancora in parte operativa.
Durante il monitoraggio dell’attività dei gruppi APT nella regione asiatica, i ricercatori della società di sicurezza hanno trovato segni di un complesso e mirato attacco di spionaggio su potenziali vittime del settore governativo nel Sud-Est asiatico, effettuato da un sofisticato gruppo APT cinese.
Le indagini sono state condotte nell’arco di almeno qualche anno, poiché i primi segni di potenziale violazione risalgono alla fine del 2018. Le prove attuali seguono la linea temporale dell’attacco fino al 2020; un piccolo numero di server C&C è attivo. È probabile che l’infrastruttura globale controllata dagli aggressori utilizzata nell’attacco non sia attualmente attiva, anche se sono stati riscontrati ancora alcuni C&C operativi.
Mentre l’incidente è stato menzionato da altri ricercatori di sicurezza, l’indagine di Bitdefender si concentra sulla linea temporale dettagliata dell’attacco, mettendo insieme tutte le prove forensi e creando un esempio di caso di studio. Il Report appena pubblicato da Bitdefender “Dissecting a Chinese APT Targeting South Eastern Asian Government Institutions” fornisce la cronologia dettagliata degli attacchi e fa un inventario degli strumenti, delle tecniche e delle procedure utilizzate dal gruppo APT e un’analisi tecnica degli strumenti utilizzati in questo attacco mirato.
Tecniche e strumenti utilizzati
“L’attacco ha un complesso e completo arsenale di strumenti, come dropper, backdoor e molti ancora, tra cui codici binari delle backdoor Chinoxy e FunnyDream e di PCShare Rat, con indizi e prove che fanno pensare a un autore cinese. Alcuni di questi trojan RAT (Remote Access Trojans) open source sono notoriamente di origine cinese, insieme ad altre risorse impostate in lingua cinese. La backdoor FunnyDream è molto più complessa delle altre, poiché implementa un’ampia gamma di meccanismi di persistenza e un gran numero di dropper, suggerendo così che sia stata creata ad hoc.
Tempistiche e danni causati
I primi segni di attacco risalgono al novembre 2018, seguiti da un aumento dell’attività del gruppo APT cinese a partire dall’inizio del 2019. Da allora, nell’arco di cinque mesi, circa 200 sistemi sembrano avere al loro interno segni relativi ai vari strumenti associati al gruppo APT indagato. Alcune prove suggeriscono che i criminali informatici potrebbero essere riusciti a compromettere i controller di dominio dalla rete della vittima, permettendo loro di spostarsi lateralmente e potenzialmente di ottenere il controllo di un gran numero di macchine di quell’infrastruttura. Le indagini indicano un attacco volto a garantire la permanenza nella rete presa di mira il più a lungo possibile per spiarne le vittime monitorando le loro attività ed esfiltrare le informazioni”.
https://www.bitdefender.com/files/News/CaseStudies/study/379/Bitdefender-Whitepaper-Chinese-APT.pdf
