I ricercatori di Bitdefender hanno scoperto un’operazione di lunga durata legata al noto gruppo APT NAIKON, secondo gli esperti gli attaccanti avrebbero utilizzato una nuova backdoor, battezzata Nebulae. Lo scopo di questa operazione è il cyber-spionaggio e il furto di dati.
Il malware è stato individuato durante l’analisi di una serie di attacchi che hanno come vettore principale un’altra backdoor individuata dai ricercatori come Rainyday.
Rainyday utilizza una tecnica di attacco side-loading e sfrutta una serie di accorgimenti per nascondere la sua presenza, tra i quali l’utilizzo di componenti che normalmente fanno parte dell’installazione di software legittimi (come Sandboxie e Chrome).
Nonostante Rainyday abbia tutti gli strumenti che permettono agli attori malevoli di rubare i dati dal computer compromesso, il malware installa una seconda backdoor (Nebulae) per garantirsi una forma di persistenza nel caso in cui Rainyday dovesse essere individuata e rimossa.
Nebulae viene quindi caricata sia come eseguibile che come DLL ed è in grado di “impersonare” componenti legittimi, come quelli legati al sistema di scansione antivirus di McAfee e del browser Chrome.
Per mascherare l’attività di esfiltrazione dei dati, gli attori utilizzano un’ulteriore DLL programmata per caricare tutti i file modificati di recente su un account Dropbox. Di conseguenza il traffico generato per trasferire i documenti, selezionati in base all’estensione dei file, appare totalmente legittimo.
L’attribuzione al gruppo Naikon da parte dei ricercatori è basata oltre che al modus operandi, confermato anche da altre società di sicurezza, anche all’individuazione di alcuni server Command and Control usati in passato dal gruppo APT.
Obiettivi
“Durante la nostra indagine, abbiamo identificato che le vittime di questa operazione sono organizzazioni militari situate nel sud-est asiatico. L’attività dannosa è stata condotta tra giugno 2019 e marzo 2021. All’inizio dell’operazione, gli attori della minaccia hanno utilizzato il caricatore Aria-Body e Nebulae come prima fase dell’attacco. Dalle nostre osservazioni, a partire da settembre 2020, gli attori delle minacce hanno incluso la backdoor RainyDay nel loro toolkit. Lo scopo di questa operazione era il cyber-spionaggio e il furto di dati”, si legge nell’analisi degli esperti di Bitfinder.
https://labs.bitdefender.com/2021/04/new-nebulae-backdoor-linked-with-the-naikon-group/
https://www.securityinfo.it/2021/04/28/la-nuova-backdoor-dei-cyber-spioni-si-chiama-nebulae/
