Aggiornamenti recenti Settembre 20th, 2024 9:00 AM
Lug 08, 2016 Marco Schiaffino Approfondimenti, Apt, Campagne malware, Malware, Minacce, Minacce, Trojan 0
Se per cimentarsi nel cyber-crimine non serve essere dei fenomeni della programmazione, a quanto pare non è richiesto avere grandi capacità nemmeno per eccellere nello spionaggio.
È questa la lezione che si impara dal report di Cymmetria, che ha analizzato nei dettagli modalità e tecniche utilizzate da un gruppo di cyber-spioni impegnati in quella che i ricercatori hanno battezzato col nome di “Operazione Patchwork”.
La rete di spionaggio ha presso di mira principalmente i computer di enti governativi e organizzazioni legate al settore militare attivi nel sud-est asiatico e nel mar cinese meridionale. Per ottenere il risultato, gli ignoti pirati informatici hanno utilizzato una serie di strumenti reperiti online, sia su Github, sia su forum dedicati all’hacking.
La ricostruzione del modus operandi del gruppo Patchwork fatta da Cymmetria parte con un attacco di spear phishing, che ha preso di mira nel maggio 2106 un funzionario cinese.
Il veicolo di infezione scelto dagli spioni è stata una presentazione PowerPoint che sfruttava una vulnerabilità (CVE-2014-4114) ben conosciuta dei programmi Office, efficace sulle versioni non aggiornate delle edizioni 2003 e 2007 della suite per l’ufficio di Microsoft.
È a questo punto che gli analisti di Cymmetria hanno fatto la loro mossa, “ingabbiando” l’attacco in un ambiente controllato al cui interno hanno potuto registrare e analizzare tutte le mosse dei pirati: dal traffico di rete alle modifiche del sistema effettuate per muoversi al suo interno.
Una volta avuto accesso tramite l’exploit, il malware ha aggirato il sistema UAC (User Account Control) di Windows utilizzando un metodo chiamato UACME. Il codice per farlo, secondo quanto ricostruito dagli analisti, è stato copiato da un forum online.
I pirati hanno poi usato gli strumenti di PowerSploit, una collezione di strumenti shell disponibile sul Web, per scaricare e installare Meterpreter, un trojan disponibile nel pacchetto Metasploit.
Il trojan ha individuato i documenti sul computer e ne ha trasferito una copia al server Command and Control controllato dai pirati. Avuta la conferma che il bersaglio era “interessante”, hanno poi proceduto con l’installazione di un secondo (e più complesso) malware, a sua volta ottenuto assemblando diversi moduli facilmente reperibili sul Web.
A questo punto, gli intrusi hanno cominciato a esplorare la rete (in realtà composta da una serie di esche disposte ad hoc dai ricercatori) per cercare di ottenere l’accesso ad altri dispositivi. L’attività, però, a quel punto si è interrotta.
Gli analisti di Cymmetria hanno potuto però risalire e accedere al server C&C, ottenendo i log di sistema e i documenti caricati su di esso.
Tra questi hanno trovato i file PowerPoint utilizzati per diffondere il malware e numerose informazioni che gli hanno permesso di ricostruire l’attività del gruppo in maniera piuttosto dettagliata.
Nonostante il rapporto non tragga conclusioni certe sulla paternità degli attacchi, l’ipotesi più credibile è quella di un gruppo vicino al governo indiano, che avrebbe tutto l’interesse a creare una rete di spionaggio come quella di Patchwork per controllare i suoi “vicini”.
A confermare l’ipotesi è anche l’analisi degli orari in cui i pirati sembravano essere attivi, che indicherebbe una presenza in “orario d’ufficio” nell’area del subcontinente indiano.
Gen 18, 2019 0
Set 20, 2024 0
Set 19, 2024 0
Set 18, 2024 0
Set 17, 2024 0
Set 20, 2024 0
Set 19, 2024 0
Set 18, 2024 0
Set 13, 2024 0
Set 20, 2024 0
Secondo il report del primo trimestre 2024 di Cisco Talos...Set 19, 2024 0
Ora più che mai le aziende si trovano nel mirino dei...Set 18, 2024 0
Negli ultimi tempi gli abusi “transitivi” di...Set 13, 2024 0
Nel suo ultimo Patch Tuesday Microsoft aveva segnalato la...Set 06, 2024 0
Il quishing non è una minaccia nuova, ma negli ultimi...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Set 20, 2024 0
Secondo il report del primo trimestre 2024 di CiscoSet 17, 2024 0
Pochi giorni fa il Port of Seattle, l’agenzia...Set 16, 2024 0
I ricercatori di Doctor Web hanno scoperto Vo1d, unSet 16, 2024 0
Nel corso dell’ultima settimana, il CERT-AGID ha...Set 13, 2024 0
I ricercatori di Aqua Nautilus hanno individuato un nuovo...