Un hacker o forse gruppo di criminali informatici che ha un legame all’India è stato osservato utilizzare vari fornitori di servizi cloud per facilitare il furto di credenziali, la distribuzione di malware e il comando e controllo (C2); l’azienda di infrastrutture web e sicurezza Cloudflare sta monitorando l’attività sotto il nome SloppyLemming, conosciuto anche come Outrider Tiger e Fishing Elephant.
L’avviso di Cloudflare, com’è cominciato tutto
“Tra la fine del 2022 e oggi, SloppyLemming ha utilizzato regolarmente Cloudflare Workers, probabilmente come parte di una vasta campagna di spionaggio che prende di mira i paesi dell’Asia meridionale e orientale,” ha dichiarato Cloudflare in un’analisi.
Si ritiene che SloppyLemming sia attivo almeno dal luglio 2021, con campagne precedenti che utilizzavano malware come Ares RAT e WarHawk e quest’ultimo è anche collegato a un gruppo di hacker noto come SideWinder; l’uso di Ares RAT, invece, è stato collegato a SideCopy, un gruppo di criminali informatici che molto probabilmente è di origine pakistana.
Gli obiettivi delle attività di SloppyLemming includono entità governative, forze dell’ordine, settori dell’energia, dell’istruzione, delle telecomunicazioni e della tecnologia situate in Pakistan, Sri Lanka, Bangladesh, Cina, Nepal e Indonesia.
Le catene di attacco coinvolgono l’invio di e-mail di spear-phishing ai bersagli con l’intento di ingannarli inducendoli a cliccare su un link malevolo, sostenendo che debbano completare un processo obbligatorio entro le prossime 24 ore.
Cliccando sul link, la vittima viene indirizzata a una pagina per il furto di credenziali, che funge da meccanismo per permettere ai criminali informatici di ottenere accesso non autorizzato agli account di posta elettronica di interesse all’interno delle organizzazioni prese di mira.
Il moduso operandi dei criminali informatici secondo Cloudflare
“L’autore utilizza uno strumento personalizzato chiamato CloudPhish per creare un Cloudflare Worker malevolo che gestisce la logica di registrazione delle credenziali e l’esfiltrazione delle credenziali delle vittime ai criminali informatici“, ha affermato l’azienda.
Alcuni degli attacchi condotti da SloppyLemming hanno sfruttato tecniche simili per catturare i token OAuth di Google, così come impiegato archivi RAR trappola (“CamScanner 06-10-2024 15.29.rar”) che probabilmente sfruttano una vulnerabilità di WinRAR (CVE-2023-38831) per ottenere l’esecuzione di codice remoto.
Nel file RAR è presente un eseguibile che, oltre a mostrare il documento esca, carica in modo furtivo “CRYPTSP.dll,” che funge da downloader per scaricare un trojan di accesso remoto ospitato su Dropbox.
Analogie con altre campagne di attacchi informatici
Vale la pena menzionare che la società di sicurezza informatica SEQRITE ha descritto una campagna analoga condotta dai criminali informatici che stanno dietro a SideCopy lo scorso anno, mirata a settori governativi e della difesa indiani per distribuire l’Ares RAT utilizzando archivi ZIP denominati “DocScanner_AUG_2023.zip” e “DocScanner-Oct.zip” progettati per sfruttare la stessa vulnerabilità.
Una terza sequenza di infezione impiegata da SloppyLemming prevede l’uso di esche di spear-phishing per indirizzare i bersagli a un sito web falso che imita il Punjab Information Technology Board (PITB) in Pakistan, dopodiché vengono reindirizzati a un altro sito che contiene un file di collegamento Internet (URL).
Il file URL contiene codice per scaricare un altro file, un eseguibile chiamato PITB-JR5124.exe, dallo stesso server. Il binario è un file legittimo utilizzato per caricare un DLL dannoso chiamato profapi.dll, che successivamente comunica con un Cloudflare Worker.
Questi URL di Cloudflare Worker, ha osservato l’azienda, agiscono come intermediari, trasmettendo richieste al vero dominio C2 utilizzato dall’avversario (“aljazeerak[.]online”).
Cloudflare ha affermato di aver “osservato sforzi concertati da parte di SloppyLemming per prendere di mira i dipartimenti di polizia pakistani e altre organizzazioni di forze dell’ordine”, aggiungendo che “ci sono indicazioni che l’autore [o gruppo di autori vari] abbia preso di mira entità coinvolte nelle operazioni e nella manutenzione dell’unica struttura nucleare del Pakistan.”
Altri obiettivi delle attività di furto di credenziali includono organizzazioni governative e militari in Sri Lanka e Bangladesh, e in misura minore, entità del settore energetico e accademico cinese.
E tu cosa ne pensi di questo accaduto? Scrivilo sui commenti.
