Il governo e le organizzazioni statali di numerosi paesi asiatici sono stati presi di mira da un gruppo distinto di hacker esperti in spionaggio informatico nell’ambito di una missione di raccolta di informazioni in corso dall’inizio del 2021.
“Una caratteristica notevole di questi attacchi è che gli aggressori hanno sfruttato un’ampia gamma di pacchetti software legittimi per caricare i loro payload di malware utilizzando una tecnica nota come DLL Side Loading“, ha affermato il team di Symantec Threat Hunter, parte di Broadcom Software.
Perché ad essere presa di mira dallo spionaggio informatico è proprio l’Asia?
Sembra che la campagna sia rivolta esclusivamente alle istituzioni governative legate alla finanza (dei paesi asiatici, insomma), dall’aerospazio e alla difesa, nonché alle società di media, IT e telecomunicazioni di proprietà statale.
Il DDL Side Loading a collegamento dinamico (DLL) è un popolare metodo di attacco informatico che sfrutta il modo in cui le applicazioni Microsoft Windows gestiscono i file DLL.
In queste intrusioni, una DLL dannosa contraffatta viene inserita nella directory Windows Side-by-Side (WinSxS) in modo che il sistema operativo la carichi invece del file legittimo.
Gli attacchi di questo tipo comportano l’uso di versioni vecchie e obsolete di soluzioni di sicurezza, software di grafica e browser Web che sono destinati a non avere mitigazioni per il caricamento laterale delle DLL, utilizzandole come un canale per caricare shellcode arbitrario progettato per eseguire payload aggiuntivi.
Inoltre, i pacchetti software fanno da tramite anche come mezzo per fornire strumenti per facilitare il furto di credenziali e lo spostamento laterale attraverso la rete compromessa.
“[Il gruppo hacker] ha sfruttato PsExec per eseguire vecchie versioni di software legittimo che sono stati poi utilizzati per caricare strumenti malware aggiuntivi come i Trojan di accesso remoto (RATS) pronti all’uso tramite caricamento laterale DLL su altri computer delle reti“, hanno fatto notare i ricercatori.
In uno degli attacchi contro un’organizzazione di proprietà del governo nel settore dell’istruzione in Asia (specifico: nel continente asiatico, sia mai qualcuno pensi che l’Asia sia uno stato unico…) durato da aprile a luglio 2022, durante il quale il gruppo di hacker ha avuto accesso a macchine che ospitavano database ed e-mail, prima di accedere al controller di amministrazione.
L’intrusione ha anche utilizzato una versione di Bitdefender Crash Handler (“javac.exe”) di 11 anni fa per lanciare una versione rinominata di Mimikatz (“calc.exe”), un framework di test di penetrazione Golang open source chiamato LadonGo, e altri payload personalizzati su più host.
Uno di questi programmi elencati è un “ladro” di informazioni ricco di funzionalità precedentemente non documentate in grado di registrare sequenze di tasti, acquisire schermate, connettersi (tipo i vecchi dialer) e interrogare database SQL, scaricare file e rubare dati negli appunti.
Nell’attacco viene utilizzato anche uno strumento di scansione intranet pubblicamente disponibile denominato Fscan per eseguire tentativi di exploit sfruttando le vulnerabilità di ProxyLogon Microsoft Exchange Server.
L’identità del gruppo hacker non è chiara, anche se si dice che abbia utilizzato ShadowPad in precedenti campagne, una backdoor modulare modellata come successore di PlugX (alias Korplug) e condivisa da molti attentatori informatici cinesi.
Gli esperti di Symantec hanno affermato di avere prove limitate che collegano i precedenti attacchi dell’attore della minaccia che coinvolgono il malware PlugX ad altri gruppi di hacking cinesi come APT41 (aka Wicked Panda) e Mustang Panda.
Inoltre, l’uso di un file Bitdefender legittimo per caricare lo shellcode è stato osservato in precedenti attacchi attribuiti ad APT41.
“L’uso di applicazioni legittime per facilitare il DLL Side Loading sembra essere una tendenza in crescita tra gli attentatori dello spionaggio [informatico] che operano nella regione [Asia]“, hanno affermato i ricercatori. “Sebbene sia una tecnica ben nota, deve riscuotere un certo successo per gli aggressori data la sua attuale popolarità“.
Ma perché proprio in Asia questo succede contro governi e organizzazioni?
Facciamo un esempio con un paese a caso dell’Asia: Giappone.
Questo si ricollega al discorso dell’importanza degli aggiornamenti; non a caso il Giappone è finito giusto un filino nel caos per non essersi aggiornati ad altri browser all’infuori di Internet Explorer.
Nello stesso paese asiatico si usano ancora i Floppy Disk.
Se a questo aggiungiamo che nel mondo esistono miriadi di persone che non aggiornano i software come l’antivirus e che utilizzano ancora Windows 7 (se non XP in casi più estremi), direi che è abbastanza semplice immaginare la motivazione dei problemi informatici istituzionali di alcuni paesi dell’Asia.
Questa cosa è un vizio di molte istituzioni anche in Europa, di conseguenza ne è colpito anche il nostro paese.
Infatti in programmi e sistemi operativi non (più) aggiornati è molto più facile che questi file DLL vecchi possano essere sfruttati per il DLL side-loading!
In breve: stare al passo con gli aggiornamenti software e con la tecnologia non è solo una smania da smanettoni (perdona il gioco di parole), ma è un modo per salvaguardare i propri dati.
