Organizzazioni governative e ONG tra le vittime in una campagna APT cinese ad ampio raggio che coinvolge anche l’Italia.
Qualche giorno fa Mandiant sottolineava che ci sono diverse nazioni che hanno gruppi sponsorizzati che stanno portando avanti le loro battaglie indipendentemente da quello che sta succedendo in Ucraina e Russia. La dimostrazione pratica arriva con l’allarme sull’attività di Cicada, gruppo APT altrimenti conosciuto come APT10, sostenuto dalla Cina, che sta seminando attacchi contro organizzazioni governative, legali, religiose e ONG in diversi paesi, tra cui Europa, Asia e Nord America. E anche l’Italia è finita nel mirino.
Sulle reti di alcuni target la permanenza si è protratta fino a nove mesi. Tenendo conto delle informazioni note su Cicada e degli strumenti impiegati, i ricercatori reputano che l'obiettivo più probabile di questa campagna sia lo spionaggio.
A seguire gli avvenimenti è l’intelligence di Symantec, secondo cui la campagna di lunga durata è in corso almeno dalla metà del 2021. A colpire i ricercatori è l'ampio numero di settori operativi e di aree geografiche prese di mira, considerato che Cicada è attivo da diversi anni, ma finora si riteneva che fosse focalizzato sulle società giapponesi. Solo di recente questo APT è stato riallacciato ad attacchi contro gli MSP globali.
La nuova campagna a cui fa riferimento l’alert di Symantec sembra indicare un ulteriore ampliamento del targeting di Cicada. L'attribuzione di questa attività a Cicada si basa sulla presenza sulle reti vittime di un loader personalizzato e di un malware personalizzato utilizzati esclusivamente da APT10.
L’attività più recente risale a febbraio 2022, il che indica che la campagna potrebbe essere ancora in corso. Il pericolo maggiore è la potenza di Cicada, perché per prendere di mira grandi organizzazioni in diverse aree geografiche contemporaneamente richiede risorse e competenze che sono in possesso solo dei maggiori gruppi sponsorizzati da stati nazionali, come appunto quello di cui stiamo parlando.
In diversi casi, l'attività iniziale nelle reti target è stata rilevata sui server Microsoft Exchange. Questo fa pensare alla possibilità che almeno in alcuni casi gli attaccanti abbiano sfruttato una vulnerabilità nota e senza patch in Microsoft Exchange per ottenere l'accesso alle reti vittima. Una volta ottenuto l'accesso alle macchine delle vittime, gli attaccanti hanno distribuito sulla rete vari strumenti, tra cui il loader personalizzato nominato sopra (già impiegato in precedenti campagne) e la backdoor Sodamaster che Cicada utilizza almeno dal 2020.
Quest’ultima è uno strumento notoriamente usato da Cicada, che consiste in un malware fileless in grado di svolgere più funzioni, tra cui l’elusione della detection se eseguito all’interno di una sandbox, e la raccolta di informazioni quali nome utente, nome host e sistema operativo dei sistemi di destinazione. Inoltre, Sodamaster può individuare processi in esecuzione, scaricare ed eseguire payload aggiuntivi, oltre che offuscare e crittografare il traffico che invia al suo server di comando e controllo.
Nella campagna in oggetto, gli attaccanti hanno scaricato le credenziali degli utenti utilizzando un loader Mimikatz personalizzato. Sono così riusciti ad avere le credenziali di qualsiasi utente che accedesse all'host compromesso e a ottenere la persistenza tra i riavvii.
Gli attaccanti hanno sfruttato inoltre il programma legittimo VLC Media Player lanciando un loader personalizzato tramite la funzione VLC Exports, e utilizzano lo strumento WinVNC per il controllo remoto delle macchine target. Fra gli altri strumenti utilizzati sono stati rilevati uno strumento di archiviazione RAR per comprimere, crittografare o archiviare file - probabilmente per l'esfiltrazione - e una tecnica per determinare quali sistemi o servizi sono connessi a una macchina infetta.
Sono poi da aggiungere lo strumento da riga di comando Microsoft WMIExec per eseguire comandi su computer remoti e NBTScan, e uno strumento open source utile per condurre ricognizioni all'interno di una rete compromessa. Sul sito della ricerca sono pubblicati anche gli Indicatori di Compromissione.