LOWZERO hacker cinesi

Spie hacker cinesi puntano ai tibetani usando la nuova backdoor LOWZERO

Che tra Cina e Tibet non ci sia buon sangue non è di certo una novità, con la differenza che hacker cinesi questa volta hanno eseguito un attacco informatico alle istituzioni tibetane tramite un nuovo tipo di backdoor chiamata LOWZERO

Un gruppo di hacker (o per meglio dire cracker) legati alla Cina noto come TA413 ha aggirato vulnerabilità recentemente divulgate, presenti in Sophos Firewall e Microsoft Office per implementare una backdoor mai vista prima chiamata LOWZERO; così parte una campagna di spionaggio rivolta alle istituzioni tibetane.

Gli obiettivi consistevano principalmente in organizzazioni associate alla comunità tibetana, comprese le imprese associate al governo tibetano; del resti in Asia negli ultimi tempi questa tipologia di attacchi informatici (e non solo) è relativamente frequente.

LOWZERO: ecco dove si trova e come funziona

Le intrusioni hanno coinvolto lo sfruttamento di CVE-2022-1040 e CVE-2022-30190 (quest’ultima conosciuta anche col nome di “Follina”), due vulnerabilità di esecuzione di codice in modalità remota rispettivamente in Sophos Firewall e Microsoft Office.

Questa volontà di incorporare rapidamente nuove tecniche e metodi di accesso iniziale contrasta con l’uso continuato da parte del gruppo di capacità ben note e segnalate, come l’armatore Royal Road RTF, e tendenze spesso permissive di accesso alle infrastrutture [informatiche]“, ha affermato Recorded Future in una nuova (e recente) analisi tecnica .

TA413, noto anche come LuckyCat, è stato collegato per prendere di mira incessantemente organizzazioni e individui associati alla comunità tibetana almeno dal 2020 utilizzando malware come ExileRAT, Sepulcher e un’estensione dannosa del browser Mozilla Firefox denominata FriarFox.

LOWZERO hacker cinesi tibetani

Lo sfruttamento da parte del gruppo hacker del difetto di Follina era stato precedentemente evidenziato da Proofpoint nel giugno 2022, sebbene l’obiettivo finale finale delle catene di attacchi di infezione (nel senso tramite l’ausilio di virus e malware) rimanesse poco chiaro.

Inoltre, in un attacco di spear-phishing identificato nel maggio 2022 è stato utilizzato un documento RTF dannoso che sfruttava i difetti in Microsoft Equation Editor per eliminare l’impianto LOWZERO personalizzato.

Ciò è stato ottenuto utilizzando uno strumento denominato Royal Road RTF, ampiamente condiviso tra gli hacker cinesi; sostanzialmente è questa la Backdoor LOWZERO di Microsoft Office.

In un’altra email di phishing inviata ad una serie di utenti tibetani a fine maggio, un allegato di Microsoft Word ospitato sul servizio Google Firebase ha tentato di sfruttare la vulnerabilità di Follina per eseguire un comando PowerShell progettato per scaricare la backdoor da un server remoto.

LOWZERO hacker

Questa backdoor, LOWZERO, è in grado di ricevere moduli aggiuntivi dal suo server di comando e controllo (C2), ma solo a condizione che la macchina compromessa sia considerata di interesse per i cracker malintenzionati.

Il gruppo continua ad aumentare le proprie capacità e allo stesso tempo fa affidamento su tattiche, tecniche e procedure collaudate“, ha affermato la società di sicurezza informatica.

L’utilizzo da parte di TA413 delle vulnerabilità zero-day e pubblicate di recente è indicativa di tendenze più ampie con i gruppi di spionaggio informatico cinesi per cui gli exploit appaiono regolarmente utilizzati da più gruppi di attività cinesi distinti prima della loro diffusa disponibilità pubblica“.

Come difendersi da un eventuale attacco che sfrutta LOWZERO?

Anzitutto è bene ribadire come detto sopra che:

  1. LOWZERO si attiva solo su Microsoft Office e tramite il firewall Sophos;
  2. Si attiva solamente tramite file di estensione RTF.

Posto ciò, è abbastanza intuibile che, anche senza per forza usare Linux per aprire accedere a tali dati è più che sufficiente usare alternative ad Office (come LibreOffice oppure OpenOffice) per aprire un file RTF.

LOWZERO hacker

Nel caso in tu sia un tantino fobico (ma non c’è motivo di esserlo, in Italia è decisamente improbabile ciò accada), puoi sempre dotarti di una macchina virtuale Linux per aprire gli RTF o di un computer con Linux a sé stante.

Inoltre Office non andrebbe usato con crack di dubbia fattura (KMS), bensì con licenze legali, e periodicamente aggiornato, sebbene in tal caso non resti che aspettare che Microsoft sistemi questo problema.

Nel caso del firewall Sophos, invece, basta cambiare firewall, se usi Windows, ad esempio, lasci quello Microsoft di default e via.

Ribadisco che resta decisamente improbabile questa possibilità per il nostro paese, salvo qualche burlone non sia intenzionato ad attaccare le nostre istituzioni…

Questa backdoor (LOWZERO), è relativamente, eri già a conoscenza di questo problema di intrusione?

Ti è mai capitato qualcosa di simile dal vivo?

Se sei del settore o anche un semplice appassionato: proponi altri soluzioni oltre quella descritta nell’articolo?

Scrivilo sui commenti.

Sottoscrivi
Notificami
guest
0 Commenti
Inline Feedbacks
Guarda tutti i commenti
0
in iCrewPlay diamo spazio al tuo pensiero! Commenta!x
()
x
Condividi su facebook
CONDIVIDI