Una grande compagnia di telecomunicazioni situata in Asia è stata presumibilmente violata da hacker sponsorizzati dallo stato cinese che hanno trascorso oltre quattro anni all’interno dei suoi sistemi, secondo un nuovo rapporto della società di risposta agli incidenti Sygnia. La società di sicurezza informatica sta monitorando l’attività sotto il nome di Weaver Ant, descrivendo l’attore minaccia come furtivo e molto persistente. Il nome del fornitore di telecomunicazioni non è stato rivelato. “Utilizzando shell web e tunnel, gli attaccanti hanno mantenuto la persistenza e facilitato il cyber spionaggio”, ha detto Sygnia. “Il gruppo dietro questa intrusione […] mirava ad ottenere e mantenere un accesso continuo ai fornitori di telecomunicazioni e facilitare il cyber spionaggio raccogliendo informazioni sensibili”. Si dice che la catena di attacchi abbia coinvolto lo sfruttamento di un’applicazione pubblica per far cadere due diversi shell web, una variante crittografata di China Chopper e uno strumento dannoso precedentemente non documentato chiamato INMemory. Vale la pena notare che China Chopper è stato messo in uso da più gruppi di hacker cinesi in passato. INMemory, come suggerisce il nome, è progettato per decodificare una stringa codificata in Base64 ed eseguirla interamente in memoria senza scriverla sul disco, lasciando così nessuna traccia forense. “La shell web ‘INMemory’ ha eseguito il codice C# contenuto in un eseguibile portatile (PE) chiamato ‘eval.
Fonte: The Hackers News
