Spionaggio digitale made in China: APT41 sfrutta SharePoint per infiltrarsi nei governi africani

Il gruppo informatico APT41, collegato alla Cina, ha lanciato una nuova operazione di spionaggio contro i servizi IT governativi in Africa, una svolta inaspettata per una regione precedentemente considerata un obiettivo improbabile. Gli specialisti di Kaspersky Lab hanno identificato l’attacco dopo aver rilevato attività sospette sulle workstation di un’organizzazione non identificata. Gli aggressori hanno utilizzato strumenti di amministrazione remota ed eseguito comandi per garantire la disponibilità dei loro server di controllo all’interno della rete compromessa.

Successivamente è stato rivelato che il punto di ingresso era un host non rintracciabile, dove il framework Impacket, inclusi i moduli Atexec e WmiExec, veniva avviato nel contesto di un account di servizio. Dopo l’esecuzione, gli aggressori hanno temporaneamente interrotto le loro attività. Tuttavia, hanno presto iniziato a utilizzare credenziali ad alto privilegio rubate per aumentare i diritti e spostarsi lateralmente sulla rete, anche utilizzando lo strumento Cobalt Strike, implementato tramite la tecnica DLL Sideloading

La particolarità delle librerie dannose è che controllano le impostazioni della lingua di sistema e interrompono l’esecuzione se vengono rilevati pacchetti di lingua cinese (sia semplificato che tradizionale), giapponese o coreano. Questa misura è chiaramente mirata a evitare l’infezione dei computer nei paesi in cui hanno sede gli sviluppatori.

Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀 Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮. Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Gli aggressori hanno anche utilizzato SharePoint Server come centro di controllo nell’infrastruttura della vittima, camuffando l’attività dannosa come normale attività aziendale. È stato utilizzato per trasmettere comandi eseguiti da un trojan scritto in C#, che ha ottenuto l’accesso al sistema tramite i file “agents.exe” e “agentx.exe” trasmessi tramite il protocollo SMB. Questi file eseguibili interagivano con la web shell CommandHandler.aspx installata su SharePoint, eseguendo i comandi degli aggressori.

L’attacco combina comuni tecniche di penetrazione con tattiche ” Living off the Land “, che utilizzano servizi aziendali legittimi come strumenti di controllo. Queste tecniche sono coerenti con gli standard MITRE ATT&CK T1071.001 e T1047, il che le rende particolarmente difficili da rilevare con i mezzi tradizionali.

Dopo la ricognizione iniziale, gli aggressori si sono concentrati sulle macchine di interesse. Da lì, hanno avviato script tramite “cmd.exe” che scaricavano file HTA dannosi da una fonte esterna, il cui dominio era camuffato da una risorsa ufficiale di GitHub. Sebbene l’esatta funzionalità del contenuto scaricato sia ancora sconosciuta, è noto che uno degli script utilizzati in precedenza avviava una reverse shell, fornendo il pieno controllo remoto del sistema.

Per raccogliere informazioni è stata utilizzata un’ampia gamma di strumenti. Una versione modificata dello strumento Pillager ha consentito il furto di credenziali di accesso da browser e terminali, file, corrispondenza, e-mail, screenshot e altre informazioni sensibili. Lo strumento Checkout ha raccolto informazioni sui file scaricati e sui dati di pagamento, inclusi dati provenienti da browser come Chrome, Opera, Brave e altri. L’utility RawCopy è stata utilizzata per estrarre i file di registro non elaborati, mentre Mimikatz è stato utilizzato per scaricare le credenziali utente.

APT41 ha dimostrato un elevato livello di adattabilità, adattando i suoi moduli malware alle specifiche dell’infrastruttura della vittima. Inoltre, gli aggressori hanno utilizzato attivamente una combinazione di strumenti legittimi e proprietari, inclusi strumenti di penetration testing, per camuffare l’attacco come azioni di dipendenti interni.

Questa operazione in Africa segna un cambiamento nell’attenzione geografica di APT41 e mette in luce la crescente attenzione delle unità informatiche cinesi verso regioni precedentemente inesplorate dai loro obiettivi. Secondo Trend Micro, i primi segnali di attività in questa direzione sono stati osservati già alla fine del 2022. L’utilizzo di servizi aziendali interni come canali di controllo e raccolta dati conferma un’evoluzione negli approcci in cui il confine tra pentest e attacchi reali è praticamente annullato.

Seguici su Google News, LinkedIn, Facebook e Instagram per ricevere aggiornamenti quotidiani sulla sicurezza informatica. Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli