Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca
Red Hot Cyber Academy

APT Earth Hundun: nuove tattiche di cyber spionaggio nell’Asia-Pacifico

Sandro Sana : 21 Maggio 2024 07:09

Un’analisi di Trend Micro rivela le ultime versioni di Waterbear e Deuterbear, due malware usati da Earth Hundun.

Chi è APT Earth Hundun?

APT Earth Hundun è un gruppo di cyber spionaggio che opera principalmente nell’Asia-Pacifico, con obiettivi che includono governi, organizzazioni militari, istituzioni accademiche e aziende di telecomunicazioni.

Il nome Earth Hundun deriva da un termine cinese che significa caos o disordine, e si riferisce alla capacità del gruppo di nascondere le sue attività e di eludere le difese. Il gruppo è attivo dal 2009 e usa una varietà di strumenti e tecniche per infiltrarsi nelle reti delle vittime e rubare informazioni sensibili.

Quali sono le ultime campagne di APT Earth Hundun?

Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)?
Stiamo per avviare il corso intermedio in modalità "Live Class", previsto per febbraio.
A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente.
Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato. Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile.
Per ulteriori informazioni, scrivici ad [email protected] oppure scrivici su Whatsapp al 379 163 8765 

Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

Recentemente, sono stati osservati attacchi informatici che hanno preso di mira diverse organizzazioni in vari settori, come la tecnologia, la ricerca e il governo. Questi attacchi coinvolgono una famiglia di malware nota come Waterbear, che è collegata al gruppo di cyber spionaggio Earth Hundun (anche noto come BlackTech), un attore che si concentra sulla raccolta di informazioni da organizzazioni di tecnologia e governo, soprattutto nella regione Asia-Pacifico.

Tra l’arsenale di armi del gruppo, il backdoor Waterbear è uno dei più complessi, con una vasta gamma di tecniche anti-debug, anti-sandbox e di ostacolo agli antivirus. Inoltre, i frequenti aggiornamenti da parte dei suoi sviluppatori hanno portato a ancora più tattiche di evasione, tra cui il miglioramento del suo loader, downloader e protocollo di comunicazione. Questo rapporto approfondirà le ultime tecniche che Earth Hundun ha implementato con Waterbear e fornirà un’analisi della sua ultima iterazione, Deuterbear.

Come funzionano Waterbear e Deuterbear?

Waterbear e Deuterbear sono due malware usati da APT Earth Hundun per mantenere l’accesso persistente alle reti infettate e per eseguire comandi remoti. Entrambi i malware sono modulari e supportano il caricamento di plugin per aumentare le loro funzionalità.

Waterbear è stato scoperto per la prima volta nel 2009 e da allora ha subito diverse modifiche e aggiornamenti. Deuterbear è una versione più recente e avanzata di Waterbear, che è stata rilevata per la prima volta nell’ottobre 2022.

Quali sono le differenze tra Waterbear e Deuterbear?

Secondo un rapporto di Trend Micro, Deuterbear presenta alcune differenze significative rispetto a Waterbear, che riflettono l’evoluzione delle tattiche di APT Earth Hundun. Alcune di queste differenze sono:

  • Deuterbear usa un formato shellcode per i suoi plugin, che gli permette di caricare codice eseguibile in memoria senza scrivere file sul disco. Questo rende più difficile l’analisi e il rilevamento del malware.
  • Deuterbear abbandona gli handshake durante l’operazione RAT, che significa che non invia più pacchetti di conferma al server di comando e controllo (C2) dopo aver ricevuto un comando. Questo riduce il traffico di rete e la possibilità di essere intercettato.
  • Deuterbear usa HTTPS per la comunicazione C2, che gli consente di mimetizzarsi nel traffico web normale e di bypassare i firewall e i proxy. Inoltre, Deuterbear usa domini legittimi come Google o Microsoft per nascondere i suoi indirizzi C2.
  • Deuterbear implementa meno comandi rispetto a Waterbear (20 contro più di 60), ma supporta più plugin per eseguire operazioni come la raccolta di informazioni, la manipolazione di file, la gestione di processi, la cattura di schermate e la registrazione di tasti. Questo rende Deuterbear più flessibile e adattabile alle esigenze del gruppo.

Quali sono le caratteristiche di Waterbear?

Oltre alle differenze con Deuterbear, Waterbear presenta alcune caratteristiche distintive che meritano di essere menzionate. Alcune di queste sono:

  • Waterbear ha avuto oltre 10 versioni dal 2009, con il numero di versione direttamente visibile nella configurazione. Nonostante le soluzioni disponibili per le versioni precedenti, i suoi operatori persistono nel migliorare i flussi di infezione fino a un compromesso riuscito. Pertanto, è comune trovare più versioni che coesistono nello stesso periodo e anche negli ambienti delle stesse vittime.
  • Alcuni downloader di Waterbear sono stati visti usare server di comando e controllo (C&C) con indirizzi IP interni (ad esempio, il downloader con hash 6b9a14d4d9230e038ffd9e1f5fd0d3065ff0a78b52ab338644462864740c2241 usa l’IP interno 192.168.11[.]2 come suo server C&C).
  • Questo suggerisce che gli attaccanti potrebbero avere una conoscenza approfondita delle reti delle loro vittime, impiegando server di salto multilivello per evitare il rilevamento. Tali tattiche sottolineano la natura sofisticata di questi attacchi, che sono progettati per mantenere in modo furtivo la presenza e il controllo negli ambienti compromessi.

Quali sono le implicazioni per la sicurezza?

L’evoluzione di Waterbear e Deuterbear indica progressi significativi da parte di APT Earth Hundun nello sviluppo del suo arsenale di strumenti, soprattutto in termini di anti-analisi e evasione del rilevamento. Questo suggerisce che le organizzazioni devono rimanere vigili e aggiornate sulle ultime minacce per proteggere adeguatamente le loro risorse digitali.

Conclusioni

Dal 2009, Earth Hundun ha continuato a evolvere e perfezionare il backdoor Waterbear, così come le sue molte varianti e ramificazioni. Nonostante le soluzioni disponibili, i miglioramenti nei metodi di infezione e nei meccanismi anti-analisi hanno portato alla variante più avanzata finora: Deuterbear. Il downloader di Deuterbear impiega la crittografia HTTPS per la protezione del traffico di rete e implementa vari aggiornamenti nell’esecuzione del malware, come alterare la decrittazione della funzione, controllare la presenza di debugger o sandbox e modificare i protocolli di traffico.

Secondo la nostra telemetria, Earth Hundun ha continuato a infiltrarsi nella regione Asia-Pacifico, e l’evoluzione continua di Waterbear e Deuterbear presenta sfide formidabili agli sforzi di difesa organizzativa. Pertanto, Trend Micro rimane impegnata a migliorare ulteriormente i nostri metodi di monitoraggio e rilevamento di conseguenza.

Sandro Sana
Membro del gruppo di Red Hot Cyber Dark Lab e direttore del Red Hot Cyber PodCast. Si occupa d'Information Technology dal 1990 e di Cybersecurity dal 2014 (CEH - CIH - CISSP - CSIRT Manager - CTI Expert), relatore a SMAU 2017 e SMAU 2018, docente SMAU Academy & ITS, membro ISACA. Fa parte del Comitato Scientifico del Competence Center nazionale Cyber 4.0, dove contribuisce all’indirizzo strategico delle attività di ricerca, formazione e innovazione nella cybersecurity.

Lista degli articoli
Visita il sito web dell'autore

Articoli in evidenza

Il 23 Giugno esce “Byte the silence”! Il IV episodio sul Cyberbullismo di Red Hot Cyber e sarà gratuito

Roma 16/06/2025 – Red Hot Cyber annuncia con orgoglio l’uscita del quarto episodio del fumetto BETTI-RHC, dal titolo “Byte the Silence”, un’opera che ha un obiettivo...

Supercomputer, l’Europa accorcia il divario con gli Stati Uniti. Cosaaa?

Festeggiamo l’hardware mentre il mondo costruisce cervelli. L’AI non si misura a FLOPS. Recentemente ho letto un articolo su Il Sole 24 Ore dal titolo: “Supercomputer, l’Eu...

La tua VPN è un Trojan! Ecco le 17 app gratuite Made in Cina che ti spiano mentre Google ed Apple ingrassano

“Se non paghi per il servizio, il prodotto sei tu. Vale per i social network, ma anche per le VPN gratuite: i tuoi dati, la tua privacy, sono spesso il vero prezzo da pagare. I ricercatori del ...

Smartwatch, AI e nuovi tool: Kali Linux 2025.2 è il futuro del pentesting

Kali Linux 2025.2 segna un nuovo passo avanti nel mondo del penetration testing, offrendo aggiornamenti che rafforzano ulteriormente la sua reputazione come strumento fondamentale per la sicurezza inf...

Dentro la mente di LockBit: profilazione criminologica di un gruppo ransomware “aziendale”

Nel mondo del cybercrime moderno, dove le frontiere tra criminalità e imprenditoria si fanno sempre più sfumate, il gruppo ransomware LockBit rappresenta un caso di studio affascinante. Atti...

Categorie
Segui i corsi di ethical hacking di CyberSecurityUP
Banner
Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

PRINCIPALI CATEGORIE
Attacchi Informatici Italiani
Dark Web & Cybercrime
0day, bug e Vulnerabilità
Hacking
Cybersecurity Italia
Cyberpolitica & Intelligence

RISORSE
Academy
Rubriche
Il manifesto di Red Hot Cyber
Feed RSS
Contatti

Copyright @ REDHOTCYBER Srl
PIVA 17898011006