Obstinate Mogwai attacca una Telco Russa. Ha usato una Deserialization di .NET vecchia di 10 anni

Gli specialisti del centro di ricerca sulle minacce informatiche Solar 4RAYS del gruppo Solar riferiscono di aver bloccato l’attività di spionaggio del gruppo Obstinate Mogwai APT nell’infrastruttura di un operatore di telecomunicazioni russo senza nome. Nell’attacco gli hacker hanno sfruttato una vecchia vulnerabilità di deserializzazione, ma non del tutto risolta, nel parametro ViewState (che controlla lo stato delle pagine web nel framework ASP.NET sviluppato da Microsoft).

La vulnerabilità consente di eseguire qualsiasi azione sul sistema attaccato, su un server di posta elettronica Microsoft Exchange o su una pagina Web basata su ASP.NET. I ricercatori sottolineano che il funzionamento stesso non è facile da individuare e che la tecnica di risposta non è stata precedentemente descritta nelle comunità specializzate.

Il problema con il parametro ViewState è noto dal 2014. In effetti, consente agli aggressori di eseguire codice arbitrario su un sistema e successivamente di rubare, manomettere o corrompere i dati.

Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected]. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

L’indagine è iniziata dopo che le misure di sicurezza hanno rilevato attività sospette sull’infrastruttura di una società di telecomunicazioni anonima. Si è scoperto che a questo punto gli aggressori avevano già creato un “trampolino di lancio” per rubare i dati riservati dell’azienda stessa e dei suoi clienti.

Gli esperti scrivono di aver trovato più volte strumenti di raggruppamento dannosi nella rete attaccata e di averli rimossi. Tuttavia, dopo un po’ di tempo, gli hacker criminali tornarono finché non furono loro completamente circoscritti. Per la loro tenacia, i ricercatori hanno chiamato questo gruppo di hacker Obstinate Mogwai (“Demone testardo”) e promettono di pubblicare in futuro un rapporto dettagliato di questi hacker.

Per penetrare nella rete, gli hacker hanno sfruttato una vulnerabilità di deserializzazione dei dati non attendibili nel parametro ASP.NET ViewState. La serializzazione è il processo di conversione dello stato di un oggetto in una forma adatta per l’archiviazione o la trasmissione, mentre la deserializzazione è il processo di riconversione dei dati in un oggetto.

Ciò è necessario per ottimizzare le applicazioni (ad esempio, quando interagiscono tra loro). Tuttavia, questi processi spesso contengono vulnerabilità che consentono agli aggressori di modificare i dati ed eseguire codice arbitrario quando deserializzati.

La vulnerabilità è stata parzialmente risolta nel 2014. Successivamente Microsoft, che sviluppa la piattaforma ASP.NET, ha aggiunto al suo framework un meccanismo di convalida dei dati MAC durante la deserializzazione. Tuttavia, è risultato che gli aggressori possono aggirare questo meccanismo se conoscono le chiavi di convalida ViewState.

Per ottenere le chiavi, è necessario hackerare il server IIS oppure accedervi hackerando altre parti della rete dell’organizzazione. Forse rendendosi conto della difficoltà di sfruttare la vulnerabilità, il produttore l’ha lasciata nello stato Won’t Fix (non verrà riparata). Tuttavia, la pratica ha dimostrato che tali attacchi mirati sono abbastanza reali: oggi nel mondo sono noti almeno otto casi simili.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da professionisti del settore IT e della sicurezza informatica, affiancati da una rete di fonti qualificate che operano anche in forma riservata. Il team lavora quotidianamente nell’analisi, verifica e pubblicazione di notizie, approfondimenti e segnalazioni su cybersecurity, tecnologia e minacce digitali, con particolare attenzione all’accuratezza delle informazioni e alla tutela delle fonti. Le informazioni pubblicate derivano da attività di ricerca diretta, esperienza sul campo e contributi provenienti da contesti operativi nazionali e internazionali.