TA423 (aka Red Ladon, APT40 e Leviathan) attacca le organizzazioni nel Cinese Meridionale

Proofpoint e PwC Threat Intelligence hanno monitorato una campagna di cyber-spionaggio in Australia, Malesia ed Europa tra aprile e giugno 2022 da parte dell’ART cinese nota come TA423 (aka Red Ladon, APT40 e Leviathan).

TA423 è un’organizzazione di spionaggio con sede in Cina dal 2013 che prende di mira varie organizzazioni nella regione Asia-Pacifico nei settori della difesa, dell’industria, della scienza, dell’istruzione in conformità con gli interessi geopolitici del governo cinese.

Gli obiettivi principali di ART erano le organizzazioni del settore energetico nel Mar Cinese Meridionale. La campagna si è articolata in tre fasi distinte.

Comprendeva campagne di phishing progettate per attirare le vittime su un sito Web dannoso mascherato da portale di notizie. Per fare ciò, gli aggressori hanno inviato messaggi da indirizzi e-mail controllati. Allo stesso tempo, il sito ha ospitato una vera e propria selezione di notizie tratte da Reuters e dalla BBC.

Il sito ha ospitato il sistema di intelligence e sfruttamento ScanBox, individuato per la prima volta da AlienVault nel 2014 e ritenuto dai ricercatori utilizzato da diversi gruppi cinesi. Tutti i target che accedono alla risorsa sono stati rilevati dallo ScanBox.

Fornisce codice JavaScript come blocco autonomo o, in questo caso, come architettura modulare basata su plug-in. Il payload principale imposta la sua configurazione, comprese le informazioni che raccoglie e il server C2 che deve contattare. Raccoglie dati dettagliati sul browser utilizzato.

Alla vittima vengono consegnati moduli di keylogger, impronte digitali, peer-to-peer e bypass della soluzione di sicurezza, incluso Kaspersky Internet Security (KIS). L’ultima campagna è stata la terza fase di una campagna in corso, rivolta principalmente all’Australia e alla Malesia.

Durante la prima fase (marzo 2021) la campagna di phishing ha incluso allegati RTF malevoli che hanno finito per estrarre versioni dello shellcode Meterpreter. Gli obiettivi in ​​Australia includevano scuole militari, governo federale, agenzie di difesa e sanitarie.

Gli obiettivi della Malesia includevano società di perforazione ed esplorazione offshore, nonché grandi istituzioni finanziarie e di marketing. Allo stesso tempo, quest’ultima potrebbe far parte della filiera delle aziende energetiche.

La seconda fase si è tenuta a marzo 2022. Utilizzava allegati per incorporare modelli RTF che restituivano un documento Microsoft Word con macro. Secondo Proofpoint, il payload prevedeva la consegna di un dropper DLL che estrae la risposta del payload con codifica XOR.

I ricercatori suggeriscono che TA423 opera dall’isola cinese di Hainan. La speculazione si basa su un’indagine ufficiale del Dipartimento di Giustizia degli Stati Uniti sui legami dell’ART con l’MGB nella provincia cinese di Hainan.

Tuttavia, Proofpoint e PwC hanno notato che l’accusa sembra non aver avuto alcun effetto sulle operazioni del gruppo e prevedono che TA423 continuerà le sue attività di spionaggio.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La Redazione di Red Hot Cyber fornisce aggiornamenti quotidiani su bug, data breach e minacce globali. Ogni contenuto è validato dalla nostra community di esperti come Pietro Melillo, Massimiliano Brolli, Sandro Sana, Olivia Terragni e Stefano Gazzella. Grazie alla sinergia con i nostri Partner leader nel settore (tra cui Accenture, CrowdStrike, Trend Micro e Fortinet), trasformiamo la complessità tecnica in consapevolezza collettiva, garantendo un'informazione accurata basata sull'analisi di fonti primarie e su una rigorosa peer-review tecnica.