aiutocomputerhelp
newsSicurezza Informatica

APT41/Double Dragon : Guppo hacker filo-cinese.

Giovanni Popolizio , , , , , , ,

APT41 – Windows Defender è burro !

APT41 (noto anche come Double Dragon) è un noto gruppo di criminali informatici che svolge attività di spionaggio sponsorizzato dallo Stato cinese e operazioni finanziariamente incentivate che potrebbero essere al di fuori dell’autorità del governo cinese. La motivazione finanziaria esplicita è rara tra i gruppi di minaccia sponsorizzati dallo Stato cinese e le prove indicano che APT41 è stato coinvolto in operazioni di cyber-crimine e cyberspionaggio dal 2014.

Di certo è una delle minacce informatiche cinesi più note, o meglio, un’etichetta ombrello per diversi sottogruppi. Nel corso degli anni ha costantemente modificato i suoi TTP negli attacchi di spionaggio contro agenzie governative, imprese e persino singoli individui. I suoi attacchi contro il governo degli Stati Uniti, in particolare, hanno fatto abbastanza rumore da far guadagnare ai suoi membri incriminazioni da parte delle forze dell’ordine statunitensi.

APT41
APT41

APT inizia dai videogiochi.

APT41 si è concentrato inizialmente sull’industria dei videogiochiIl settore dei videogiochi è stato l’obiettivo iniziale dell’attività di APT41 a scopo finanziario, con il gruppo che ha manipolato la valuta virtuale e ha persino tentato di distribuire ransomware. La banda è abile nel movimento laterale – Tactic ID TA0008 del MITRE ATT&CK Framework – all’interno di reti mirate, compreso il passaggio tra sistemi Windows e Linux fino a ottenere l’accesso agli ambienti di sviluppo dei giochi.

Iniziando le operazioni di cybercriminalità ottenendo l’accesso alle impostazioni di produzione dei videogiochi, APT41 ha costruito le tattiche, i metodi e le procedure (TTP) che sono state poi utilizzate n

APT41 prese di mira aziende in 14 Paesi in vari settori

Le vittime di APT41 sono aziende di tutto il mondo. Le vittime di APT41 sono aziende di tutto il mondo.

Negli anni, APT41 ha preso di mira organizzazioni in 14 Paesi e anche Hong Kong:

Francia

India

Italia

Giappone

Myanmar

Paesi Bassi

Singapore

Corea del Sud

Sudafrica

Svizzera

Thailandia

Turchia

Regno Unito

Stati Uniti.

Nelle operazioni di spionaggio dell’APT41, gli obiettivi verticali contro le entità di questi Paesi sono in linea con gli obiettivi della politica nazionale cinese.

L’APT41 è stato scoperto operare in diversi settori, tra cui quello sanitario, delle telecomunicazioni e della tecnologia in generale.

Come agiscono ?

Le attività informatiche sponsorizzate dallo Stato cinese che prendono di mira il personale e le organizzazioni politiche, economiche, militari, educative e informatiche statunitensi sono diventate sempre più sofisticate, secondo il rapporto pubblicato dal CISA nel luglio 2021. Attraverso indagini proattive e retroattive, l’NSA, il CISA e l’FBI hanno riscontrato le seguenti tendenze nell’APT41 e in altri attori di minacce maligne sponsorizzati dallo Stato cinese:

Acquisizione di infrastrutture e capacità quali server privati virtuali (VPS) e comuni strumenti di penetrazione open-source o commerciali (ad esempio, Cobalt Strike).
Sfruttamento di vulnerabilità pubbliche nelle principali applicazioni rivolte a Internet, come Pulse Secure, Apache, F5 Big-IP e prodotti Microsoft.
Proxy multi-hop criptati che utilizzano dispositivi SOHO (Small Office and Home Office) come nodi operativi per eludere il rilevamento.

Per loro, tutto può servire, tutto servirà e in specialmodo “più ne siamo, meglio è”

 Qualcosa di eclatante  che è trapelto ?

Il 20 gennaio 2022 i ricercatori hanno annunciato di aver scoperto un caso di compromissione dell’interfaccia UEFI (Unified Extensible Firmware Interface) causato dall’alterazione di un elemento del firmware. Tale elemento, chiamato SPI flash,  si trova sulla scheda madre. Si ritiene che APT41 sia responsabile dell’alterazione con MoonBounce, un impianto firmware UEFI personalizzato utilizzato negli attacchi mirati. Immaginate cosa si possa fare ……….

Recentemente…

Il 2 maggio, i ricercatori di Trend Micro hanno rivelato i dettagli di una nuova campagna di Earth Longzhi, un sospetto sottogruppo di APT41.

Earth Longzhi ha avuto una sorta di pausa dalla sua campagna più recente, iniziata nell’agosto 2021 e terminata lo scorso giugno. In quel caso, ha preso di mira organizzazioni di diversi settori – difesa, aviazione, assicurazioni e sviluppo urbano – in Paesi della regione Asia-Pacifico – Taiwan, Thailandia, Malesia, Indonesia, Pakistan, Ucraina e la stessa Cina.

Ora, dopo quasi un anno, Earth Longzhi è tornata. Torna  utilizzando nuove e migliori tattiche stealth nelle campagne di spionaggio contro molti degli stessi tipi di obiettivi.

L’evoluzione delle TTP di Earth Longzhi

Piuttosto che le collaudate e-mail di phishing, Earth Longzhi tende a prendere di mira i servizi di informazione Internet (IIS) e i server Microsoft Exchange rivolti al pubblico per installare la popolare shell Web Behinder. Utilizzando Behinder, può raccogliere informazioni e scaricare ulteriore malware sui sistemi host.

Inoltre, il gruppo ha utilizzato il sideloading di librerie di collegamento dinamico (DLL), camuffando il malware come una DLL legittima – MpClient.dll – per ingannare i binari legittimi di Windows Defender MpDlpCmd.exe e MpCmdRun.exe e caricarlo.

Secondo Trend Micro, Earth Longzhi fornisce principalmente due tipi di malware: Croxloader, un caricatore per Cobalt Strike, e un nuovo strumento anti-rilevamento chiamato SPHijacker.

SPHijacker è stato appositamente progettato per disabilitare i prodotti di sicurezza, sia utilizzando un driver vulnerabile – zamguard.sys – sia abusando dei valori non documentati “MinimumStackCommitInBytes” nella chiave di registro IFEO per eseguire una sorta di denial of service.

“Questi metodi non sono eccessivamente nuovi e sofisticati”, spiega James Lively, specialista di ricerca sulla sicurezza degli endpoint di Tanium. “Tuttavia”, aggiunge, “lo sono le conoscenze, la comprensione e il mestiere necessari per utilizzarli in modo efficiente e accurato”.