Settori delle telecomunicazioni e della produzione in Asia centrale e meridionale sotto attacco
I settori delle telecomunicazioni e della produzione nei paesi dell’Asia centrale e meridionale sono diventati il bersaglio di una campagna in corso che distribuisce una nuova variante di un malware noto come PlugX (anche conosciuto come Korplug o SOGU). Questa nuova variante presenta caratteristiche che si sovrappongono ai backdoor RainyDay e Turian, tra cui l’abuso delle stesse applicazioni legittime per il DLL side-loading, l’algoritmo XOR-RC4-RtlDecompressBuffer utilizzato per crittografare/decrittografare i payload e le chiavi RC4 impiegate.
Secondo un’analisi pubblicata questa settimana dai ricercatori di Cisco Talos, Joey Chen e Takahiro Takeda, la configurazione associata alla variante di PlugX si discosta significativamente dal formato di configurazione usuale di PlugX, adottando invece la stessa struttura utilizzata in RainyDay, un backdoor associato a un attore di minaccia legato alla Cina noto come Lotus Panda (anche conosciuto come Naikon APT). È anche probabile che Kaspersky lo tracci come FoundCore e lo attribuisca a un gruppo di minaccia di lingua cinese chiamato Cycldek.
PlugX è un trojan di accesso remoto modulare (RAT) ampiamente utilizzato da molti gruppi di hacking allineati alla Cina, ma più prominente da Mustang Panda (anche conosciuto come BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, RedDelta, Red Lich, Stately Taurus, TEMP.Hex e Twill Typhoon). D’altra parte, Turian (anche conosciuto come Quarian o Whitebird) è valutato come un backdoor impiegato esclusivamente in attacchi informatici che prendono di mira il Medio Oriente da un altro gruppo di minaccia persistente avanzata (APT) con legami con la Cina, noto come BackdoorDiplomacy (anche conosciuto come CloudComputating o Faking Dragon).
I modelli di vittimologia – in particolare il focus sulle aziende di telecomunicazioni – e l’implementazione tecnica del malware hanno fornito prove che suggeriscono probabili connessioni tra Lotus Panda e BackdoorDiplomacy, sollevando la possibilità che i due cluster siano uno e lo stesso, o che stiano ottenendo i loro strumenti da un fornitore comune. In un incidente rilevato dalla società, si dice che Naikon abbia preso di mira un’azienda di telecomunicazioni in Kazakistan, un paese che condivide i suoi confini con l’Uzbekistan, precedentemente preso di mira da BackdoorDiplomacy. Inoltre, entrambi gli equipaggi di hacking sono stati trovati a concentrarsi sui paesi dell’Asia meridionale.
Le catene di attacco coinvolgono essenzialmente l’abuso di un eseguibile legittimo associato all’applicazione Mobile Popup per caricare lateralmente un DLL dannoso che viene poi utilizzato per decrittografare e lanciare i payload di PlugX, RainyDay e Turian in memoria. Le recenti ondate di attacchi orchestrate dall’attore di minaccia si sono fortemente appoggiate su PlugX, che utilizza la stessa struttura di configurazione di RainyDay e include un plugin keylogger incorporato.
“Sebbene non possiamo concludere che ci sia una chiara connessione tra Naikon e BackdoorDiplomacy, ci sono aspetti significativamente sovrapposti – come la scelta dei bersagli, i metodi di crittografia/decrittografia dei payload, il riutilizzo delle chiavi di crittografia e l’uso di strumenti supportati dallo stesso fornitore,” ha affermato Talos. “Queste somiglianze suggeriscono un collegamento di media fiducia a un attore di lingua cinese in questa campagna.”
Considerazioni finali
La crescente sofisticazione delle minacce informatiche in Asia centrale e meridionale evidenzia l’importanza di una difesa robusta e proattiva. La capacità di gruppi come Lotus Panda e BackdoorDiplomacy di sfruttare strumenti comuni e tecniche avanzate sottolinea la necessità di una collaborazione internazionale per contrastare queste minacce. Le aziende devono rimanere vigili e aggiornare costantemente le loro strategie di sicurezza per proteggere le loro infrastrutture critiche da attacchi sempre più complessi e mirati.
Fonte: The Hackers News
