Attacco informatico a un ministero degli esteri europeo: coinvolto un gruppo APT legato all’India
Un attore di minaccia con presunti legami con l’India è stato osservato mentre prendeva di mira un ministero degli esteri europeo utilizzando malware in grado di raccogliere dati sensibili dagli host compromessi. Questa attività è stata attribuita dal Trellix Advanced Research Center a un gruppo di minaccia persistente avanzata (APT) noto come DoNot, anche conosciuto come APT-C-35, Mint Tempest, Origami Elephant, SECTOR02 e Viceroy Tiger. Si ritiene che questo gruppo sia attivo dal 2016.
Metodi di attacco e strumenti utilizzati
DoNot APT è noto per l’uso di malware personalizzati per Windows, inclusi backdoor come YTY e GEdit, spesso distribuiti tramite email di spear-phishing o documenti malevoli. Questo gruppo di minaccia prende di mira tipicamente enti governativi, ministeri degli esteri, organizzazioni di difesa e ONG, specialmente in Asia meridionale ed Europa.
Catena di attacco
L’attacco inizia con email di phishing che mirano a ingannare i destinatari inducendoli a cliccare su un link di Google Drive per scaricare un archivio RAR. Questo passaggio apre la strada al dispiegamento di un malware chiamato LoptikMod, utilizzato esclusivamente dal gruppo dal 2018. Le email provengono da un indirizzo Gmail e impersonano funzionari della difesa, con un oggetto che fa riferimento alla visita di un Attaché della Difesa italiana a Dhaka, Bangladesh.
Dettagli tecnici del malware
L’archivio RAR distribuito tramite le email contiene un eseguibile malevolo che imita un documento PDF. L’apertura di questo file causa l’esecuzione del trojan di accesso remoto LoptikMod, che può stabilire la persistenza sull’host tramite attività pianificate e connettersi a un server remoto per inviare informazioni di sistema, ricevere ulteriori comandi, scaricare moduli aggiuntivi ed esfiltrare dati. Il malware utilizza anche tecniche anti-VM e offuscamento ASCII per ostacolare l’esecuzione in ambienti virtuali ed evitare l’analisi, rendendo più difficile determinare lo scopo dello strumento. Inoltre, l’attacco assicura che solo un’istanza del malware sia attivamente in esecuzione sul sistema compromesso per evitare interferenze potenziali.
Stato attuale e motivazioni
Il server di comando e controllo (C2) utilizzato nella campagna è attualmente inattivo, il che significa che l’infrastruttura è stata temporaneamente disabilitata o non è più funzionale, oppure che gli attori della minaccia si sono spostati su un server completamente diverso. Lo stato inattivo del server C2 implica anche che attualmente non è possibile determinare l’esatto insieme di comandi trasmessi agli endpoint infetti e i tipi di dati inviati come risposte. Le operazioni di questo gruppo sono caratterizzate da sorveglianza persistente, esfiltrazione di dati e accesso a lungo termine, suggerendo un forte movente di spionaggio informatico.
Fonte: The Hackers News
