La campagna di spionaggio informatico si espande | I tempi di Manila
Una società di intelligence CYBERTHREAT ha rivelato che c’è un’espansione di una campagna di spionaggio informatico in corso che prende di mira i governi del sud-est asiatico. CheckPoint Research (CPR), con sede in Israele, ha affermato il 10 marzo che questi governi dell’Asean includono Vietnam, Thailandia e Indonesia e ha persino identificato l’origine dell’autore della minaccia informatica.
Nel giugno 2021, CPR ha indicato un gruppo chiamato SharpPanda come una “minaccia persistente avanzata” (APT). APT è un attore malintenzionato che possiede abilità e risorse straordinarie, “consentendo loro di infiltrarsi ed esfiltrarsi nella rete di un’organizzazione”.
Il gruppo di ricerca riteneva inoltre che SharpPanda provenisse dalla Cina, che utilizza lo spear-phishing e le vulnerabilità di Microsoft per ottenere l’accesso alle reti target. CPR ha continuato a monitorare l’attività del criminale informatico da allora, venendo a conoscenza di un attacco informatico a un’entità governativa di alto profilo alla fine del 2022, rubando dati e spiando entità governative.
“Stiamo assistendo a un’operazione di spionaggio informatico cinese di lunga data che prende di mira entità governative del sud-est asiatico, tra cui Vietnam, Tailandia e Indonesia”, ha affermato Eli Smadja, responsabile del gruppo di ricerca presso Check Point Software.
“Esiste un’interessante connessione tra due strumenti di attacco impostati per la prima volta. Sulla base dei risultati tecnici presentati in questa ricerca, riteniamo che questa campagna sia organizzata da attori di minacce avanzate sostenuti dalla Cina, i cui altri strumenti, capacità e posizione all’interno della rete più ampia delle attività di spionaggio devono ancora essere esplorate”, ha aggiunto Smadja.
Il payload di questo specifico attacco sfrutta il cosiddetto framework modulare Soul, un framework di malware modulare precedentemente non attribuito. Sebbene il framework Soul sia in uso almeno dal 2017, gli attori delle minacce dietro di esso hanno costantemente aggiornato e perfezionato la sua architettura e le sue capacità.
L’attacco inizia come un attacco di phishing con un documento dannoso contenente un modello remoto con un exploit. L’exploit esegue un downloader integrato, che aiuta a eseguire la backdoor di Soul.
Sebbene il framework del malware Soul sia stato precedentemente visto da Semantic in una campagna di spionaggio mirata ai settori della difesa, della sanità e delle TIC nel sud-est asiatico, non è mai stato precedentemente attribuito o collegato a nessun gruppo noto di attività dannose. Attualmente, non è chiaro se il framework Soul sia utilizzato esclusivamente da un singolo attore di minacce.
La connessione tra gli strumenti di Sharp Panda e gli attacchi precedentemente menzionati nel sud-est asiatico costituisce un ulteriore esempio delle caratteristiche chiave inerenti alle operazioni APT con sede in Cina, come la condivisione di strumenti personalizzati tra i gruppi o la specializzazione delle attività degli attori delle minacce, dove un’entità è responsabile dell’infezione iniziale e un’altra è l’effettiva raccolta di informazioni.
Mentre le precedenti campagne di Sharp Panda fornivano una backdoor personalizzata e unica chiamata VictoryDll, il carico utile in questo attacco specifico è una nuova versione del caricatore SoulSearcher, che alla fine carica il framework modulare Soul”, ha affermato Smadja.
“Di solito, l’attacco inizia come un attacco di phishing con un documento dannoso contenente un modello remoto con un exploit Royalroad. L’exploit esegue un downloader integrato e quindi scarica la seconda fase del framework Soul, che esegue la backdoor Soul. Sebbene i campioni di questo framework dal 2017 al 2021 sono stati analizzati in precedenza, questa è la catena di infezione più estesa della famiglia di malware Soul da documentare, inclusa l’analisi tecnica completa dell’ultima versione, compilata alla fine del 2022”, ha aggiunto Smadja.