In collaborazione con QGroup GmbH, SentinelLabs ha recentemente osservato attività di minaccia iniziale rivolte al settore delle telecomunicazioni. E’ molto probabile che questi attacchi siano stati condotti da un attore di spionaggio informatico cinese legato alla Operazione Soft Cell.
La fase di attacco iniziale prevede l’infiltrazione nei server Microsoft Exchange per distribuire webshell utilizzate per l’esecuzione di comandi. Una volta stabilito un punto d’appoggio, gli aggressori conducono una serie di attività di ricognizione, furto di credenziali, ed esfiltrazione di dati.
L’implementazione di malware per il furto di credenziali personalizzate è fondamentale per questa nuova campagna. Il malware ha implementato una serie di modifiche su strumenti closed-source.
Valutiamo che mim221 è una versione recente di una funzionalità di furto di credenziali mantenuta attivamente aggiornata con nuove funzionalità anti-rilevamento. L’uso di moduli speciali che implementano una gamma di tecniche avanzate mostra il lavoro attivo degli attori delle minacce a far avanzare il proprio set di strumenti verso la massima attività.
In termini di attribuzione, gli strumenti suggeriscono un collegamento immediato alla campagna “Operazione Soft Cell”, ma rimangono leggermente vaghi sullo specifico attore della minaccia. Quella campagna è stata pubblicamente associata a Gallium e possibili connessioni ad APT41. L’APT41 (Advanced Persistent Threat) è un gruppo di hacker che si ritiene provenga dalla Cina. Sono anche conosciuti con lo pseudonimo di Winnti Group.
Date le precedenti sovrapposizioni di target e TTP e un’evidente familiarità con gli ambienti delle vittime, è probabile che Gallium sia coinvolto. Tuttavia, esiste la possibilità di condivisione di strumenti a codice chiuso tra attaccanti diversi ma legati allo stato cinese e la possibilità di un fornitore condiviso.
Indipendentemente dalle specifiche del clustering, questa scoperta evidenzia l’aumento del ritmo operativo degli attori cinesi del cyberspionaggio e il loro costante investimento nel far avanzare il loro arsenale di malware per eludere il rilevamento.
E’ altamente probabile che le fasi di attacco iniziali siano state condotte da attori di minacce cinesi con motivazioni di spionaggio informatico. I fornitori di telecomunicazioni sono spesso bersagli di attività di spionaggio a causa dei dati sensibili che detengono.
L’operazione Soft Cell è stata associata al gruppo Gallium sulla base dei TTP e di alcuni dei domini che il gruppo ha utilizzato.
Attivo almeno dal 2012, Gallium è un gruppo sponsorizzato dallo stato cinese che prende di mira entità di telecomunicazioni, finanziarie e governative nel sud-est asiatico, in Europa, in Africa e nel Medio Oriente. Sebbene l’attenzione originale del gruppo fosse sui fornitori di telecomunicazioni, rapporti recenti suggeriscono che Gallium ha recentemente esteso il targeting ad altri settori.
Il vettore di intrusione iniziale e la maggior parte dei TTP che abbiamo osservato corrispondono strettamente a quelli condotti da o associati agli attori di Soft Cell. Ciò include l’implementazione di webshell sui server Microsoft Exchange per stabilire un punto d’appoggio iniziale, seguendo le stesse convenzioni di denominazione dei file, utilizzando lo strumento LG e gli strumenti integrati, e Windows per la raccolta di informazioni su utenti e processi.
Vale la pena notare che le attività degli aggressori in uno degli obiettivi suggerivano una precedente conoscenza dell’ambiente. Qualche mese prima avevamo osservato un’attività allo stesso target, che abbiamo attribuito a Gallium principalmente sulla base dell’uso della backdoor PingPull e dei TTP del gruppo.
Per chi volesse approfondire con elementi tecnici e analitici questo è il link originale:
https://www.sentinelone.com/labs/operation-tainted-love-chinese-apts-target-telcos-in-new-attacks/
