In collaborazione con QGroup GmbH, SentinelLabs ha recentemente osservato attivit\u00e0 di minaccia iniziale rivolte al settore delle telecomunicazioni. E’ molto probabile che questi attacchi siano stati condotti da un attore di spionaggio informatico cinese legato alla Operazione Soft Cell.<\/p>\n\n\n\n
La fase di attacco iniziale prevede l’infiltrazione nei server Microsoft Exchange per distribuire webshell utilizzate per l’esecuzione di comandi. Una volta stabilito un punto d’appoggio, gli aggressori conducono una serie di attivit\u00e0 di ricognizione, furto di credenziali, ed esfiltrazione di dati.<\/p>\n\n\n\n
L’implementazione di malware per il furto di credenziali personalizzate \u00e8 fondamentale per questa nuova campagna. Il malware ha implementato una serie di modifiche su strumenti closed-source. <\/p>\n\n\n\n
Valutiamo che mim221 \u00e8 una versione recente di una funzionalit\u00e0 di furto di credenziali mantenuta attivamente aggiornata con nuove funzionalit\u00e0 anti-rilevamento. L’uso di moduli speciali che implementano una gamma di tecniche avanzate mostra il lavoro attivo degli attori delle minacce a far avanzare il proprio set di strumenti verso la massima attivit\u00e0. <\/p>\n\n\n\n
In termini di attribuzione, gli strumenti suggeriscono un collegamento immediato alla campagna “Operazione Soft Cell”, ma rimangono leggermente vaghi sullo specifico attore della minaccia. Quella campagna \u00e8 stata pubblicamente associata a Gallium e possibili connessioni ad APT41. L’APT41 (Advanced Persistent Threat) \u00e8 un gruppo di hacker che si ritiene provenga dalla Cina. Sono anche conosciuti con lo pseudonimo di Winnti Group.<\/p>\n\n\n\n
Date le precedenti sovrapposizioni di target e TTP e un’evidente familiarit\u00e0 con gli ambienti delle vittime, \u00e8 probabile che Gallium sia coinvolto. Tuttavia, esiste la possibilit\u00e0 di condivisione di strumenti a codice chiuso tra attaccanti diversi ma legati allo stato cinese e la possibilit\u00e0 di un fornitore condiviso.<\/p>\n\n\n\n
Indipendentemente dalle specifiche del clustering, questa scoperta evidenzia l’aumento del ritmo operativo degli attori cinesi del cyberspionaggio e il loro costante investimento nel far avanzare il loro arsenale di malware per eludere il rilevamento.<\/p>\n\n\n\n
E’ altamente probabile che le fasi di attacco iniziali siano state condotte da attori di minacce cinesi con motivazioni di spionaggio informatico. I fornitori di telecomunicazioni sono spesso bersagli di attivit\u00e0 di spionaggio a causa dei dati sensibili che detengono. <\/p>\n\n\n\n
L’operazione Soft Cell \u00e8 stata associata al gruppo Gallium sulla base dei TTP e di alcuni dei domini che il gruppo ha utilizzato.<\/p>\n\n\n\n
Attivo almeno dal 2012, Gallium \u00e8 un gruppo sponsorizzato dallo stato cinese che prende di mira entit\u00e0 di telecomunicazioni, finanziarie e governative nel sud-est asiatico, in Europa, in Africa e nel Medio Oriente. Sebbene l’attenzione originale del gruppo fosse sui fornitori di telecomunicazioni, rapporti recenti suggeriscono che Gallium ha recentemente esteso il targeting ad altri settori.<\/p>\n\n\n\n
Il vettore di intrusione iniziale e la maggior parte dei TTP che abbiamo osservato corrispondono strettamente a quelli condotti da o associati agli attori di Soft Cell. Ci\u00f2 include l’implementazione di webshell sui server Microsoft Exchange per stabilire un punto d’appoggio iniziale, seguendo le stesse convenzioni di denominazione dei file, utilizzando lo strumento LG e gli strumenti integrati, e Windows per la raccolta di informazioni su utenti e processi.<\/p>\n\n\n\n
Vale la pena notare che le attivit\u00e0 degli aggressori in uno degli obiettivi suggerivano una precedente conoscenza dell’ambiente. Qualche mese prima avevamo osservato un’attivit\u00e0 allo stesso target, che abbiamo attribuito a Gallium principalmente sulla base dell’uso della backdoor PingPull e dei TTP del gruppo.<\/p>\n\n\n\n
Per chi volesse approfondire con elementi tecnici e analitici questo \u00e8 il link originale:<\/p>\n\n\n\n