Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Il gruppo Confucius continua le sue operazioni di cyberspionaggio contro i paesi dell’Asia meridionale. Una nuova campagna prende di mira le organizzazioni in Pakistan.
L’analisi ha rivelato l’utilizzo di uno strumento mai visto prima nell’arsenale del gruppo: la backdoor AnonDoor basata su Python. L’operazione combina il download multifase di componenti dannosi e l’utilizzo di programmi legittimi per l’esecuzione di codice nascosto.
L’attacco inizia con un archivio ZIP.
Al suo interno, sono presenti due documenti PDF. Un file è un collegamento LNK denominato GSR_Requirements.pdf, mentre l’altro è un progetto MSBuild nascosto denominato Specification.pdf. All’apertura del collegamento, il sistema avvia MSBuild.exe, che carica il file XML nascosto ed esegue il codice C incorporato.
Lo script contatta il server remoto e scarica componenti aggiuntivi.
Il codice scaricato crea attività di Windows Scheduler e inserisce file nella directory C:WindowsTasks. Tra questi, c’è pythonw.exe, un interprete Python legittimo utilizzato come copertura. Anche la libreria dannosa python310.dll viene scaricata nella stessa cartella. All’avvio dell’interprete, il sistema carica automaticamente la DLL contenente il codice dannoso. Contemporaneamente, gli aggressori scaricano un documento PDF fittizio per indurre l’utente a credere di aprire un file legittimo.
La DLL rappresenta la seconda fase dell’attacco.
Una volta avviato, il componente contatta il server nexnxky.info e scarica un ampio archivio dati contenente migliaia di file codificati in Base64. La dimensione totale supera i duemila oggetti. Questo approccio complica l’analisi e contribuisce a nascondere il modulo dannoso tra un gran numero di file legittimi.
Il file python2_pycache_.dll si distingue dagli altri. Nonostante l’estensione DLL, contiene un modulo Python compilato in formato .pyc. Questo è il modulo che contiene la backdoor AnonDoor. Il programma crea un mutex di sistema per impedirne la riesecuzione, quindi stabilisce una connessione ai server di comando e controllo nexnxky.info e upxvion.info. Le richieste di rete sono mascherate da normale traffico del browser Windows.
Una volta connessa, la backdoor richiede plugin aggiuntivi. L’architettura di AnonDoor è modulare.
Il server di comando e controllo può scaricare nuovi componenti ed espandere le funzionalità del sistema infetto. Tra le capacità scoperte figurano l‘esecuzione di comandi di sistema, l’acquisizione di screenshot, la visualizzazione e il download di file e il furto di password dai browser Mozilla Firefox e Microsoft Edge.
Moduli separati raccolgono informazioni sul sistema della vittima. Il report include la versione di Windows , il nome del computer, il nome utente, l’indirizzo IP locale ed esterno e le informazioni sul Paese. Un altro modulo analizza la struttura dell’unità e trasmette le informazioni sul disco al server di comando e controllo.
L’analisi dell’infrastruttura di attacco e della struttura del downloader indica un collegamento con Confucius. I ricercatori hanno scoperto tracce delle precedenti operazioni del gruppo : l’uso di file LNK nella fase iniziale, domini di primo livello .info per il download dei componenti e una struttura simile degli indirizzi server. Un ulteriore fattore è stato il fatto che l’operazione avesse come obiettivo organizzazioni pakistane, in linea con i precedenti obiettivi del gruppo.
La campagna osservata dimostra l’evoluzione degli strumenti di Confucio. Il passaggio a una backdoor Python e a un’architettura modulare indica un tentativo di aumentare la furtività e la flessibilità degli attacchi. Gli esperti stimano che strumenti simili potrebbero essere utilizzati attivamente in future operazioni contro organizzazioni nella regione.
