Una sofisticata campagna di cyber-spionaggio, collegata ad attori statali cinesi, ha preso di mira organizzazioni in 15 paesi sfruttando vulnerabilità nei firewall VPN di Check Point. Gli attacchi, analizzati dal team di risposta agli incidenti di Trend Micro, utilizzano una variante aggiornata del malware Shadowpad per distribuire un ransomware precedentemente non documentato.
Panoramica dell’attacco
La campagna di attacchi è iniziata nel novembre 2023 e ha colpito oltre 21 aziende nei settori manifatturiero, energetico, finanziario ed educativo. Le regioni più colpite sono state Europa, Medio Oriente e Asia.
Gli hacker hanno sfruttato password deboli e tecniche di bypass dell’autenticazione a più fattori (MFA) per infiltrarsi nelle VPN dei firewall Check Point. Una volta ottenuto l’accesso alla rete, hanno utilizzato Shadowpad – un backdoor modulare collegato a diversi gruppi APT (Advanced Persistent Threat) cinesi – per stabilire la persistenza, esfiltrare dati e distribuire il ransomware.
Il ruolo chiave di Shadowpad
Shadowpad è un malware sofisticato che svolge un ruolo centrale in questa campagna di attacchi. Ecco alcune delle sue caratteristiche principali:
- Tecniche anti-analisi avanzate: Shadowpad utilizza metodi come il controllo dei flag del debugger nel Process Environment Block (PEB) e la misurazione dei gap dei cicli CPU per evitare il rilevamento.
- Comunicazione C2 evasiva: Il malware utilizza DNS-over-HTTPS (DoH) per la comunicazione con i server di comando e controllo, complicando il rilevamento basato sulla rete.
- Modularità: Shadowpad è progettato in modo modulare, consentendo agli attaccanti di caricare funzionalità aggiuntive secondo necessità.
Il nuovo ransomware: una minaccia in evoluzione
Dopo aver stabilito la persistenza, gli attaccanti distribuiscono un ceppo di ransomware personalizzato con le seguenti caratteristiche:
- Utilizza la crittografia AES-256 con chiavi avvolte in RSA-2048
- Esclude le directory di sistema (come C:\Windows) dalla crittografia
- Aggiunge l’estensione “.locked” ai file crittografati
- Incorpora la chiave AES di ogni file (XOR con 0x3F) nel footer del file
Le note di riscatto imitano il modello del ransomware Kodex Evil Extractor, indirizzando le vittime a un portale di pagamento su Tor. Tuttavia, l’analisi forense non ha rilevato pagamenti ai portafogli Bitcoin specificati, suggerendo che la fase di crittografia potrebbe servire come distrazione mentre i dati vengono esfiltrati.
Tattiche di movimento laterale
Gli attaccanti hanno utilizzato diversi strumenti per il movimento laterale all’interno delle reti compromesse:
- CQHashDumpv2 per estrarre credenziali di Active Directory
- Il modulo WmiExec del toolkit Impacket per l’esecuzione remota di comandi
- Tecniche per il dumping dei database SAM e la distribuzione di payload su dispositivi in rete
Possibili collegamenti con gruppi APT cinesi
Sebbene l’attribuzione definitiva rimanga inconclusiva, sono state osservate sovrapposizioni infrastrutturali con Teleboyi, un gruppo APT cinese collegato al malware PlugX. Questo suggerisce una possibile collaborazione o condivisione di risorse tra diversi gruppi di minacce sponsorizzati dallo stato cinese.
Implicazioni e raccomandazioni di sicurezza
Questa campagna di attacchi rappresenta un’escalation significativa nelle tattiche dei gruppi APT cinesi, combinando spionaggio cibernetico con attacchi ransomware. Le organizzazioni, specialmente quelle nei settori critici, devono essere estremamente vigili e adottare misure proattive per proteggersi.
Consigli per migliorare la sicurezza:
- Rafforzare l’autenticazione: Implementare politiche di password robuste e MFA su tutti gli accessi critici, in particolare per le VPN e i firewall.
- Aggiornamenti tempestivi: Mantenere tutti i sistemi, specialmente i dispositivi di sicurezza di rete come i firewall, aggiornati con le ultime patch di sicurezza.
- Segmentazione della rete: Implementare una solida segmentazione della rete per limitare il movimento laterale in caso di compromissione.
- Monitoraggio avanzato: Utilizzare soluzioni di rilevamento e risposta endpoint (EDR) e di rilevamento e risposta di rete (NDR) per identificare rapidamente attività sospette.
- Backup sicuri: Mantenere backup offline e testati regolarmente per garantire il ripristino in caso di attacco ransomware.
- Formazione sulla consapevolezza: Educare regolarmente il personale sulle minacce di sicurezza emergenti e sulle best practice di cybersecurity.
- Hardening dei sistemi: Applicare il principio del minimo privilegio e disabilitare servizi e porte non necessari.
- Threat hunting proattivo: Condurre regolarmente attività di threat hunting per identificare potenziali compromissioni nascoste.
- Piano di risposta agli incidenti: Sviluppare e testare regolarmente un piano di risposta agli incidenti che includa scenari di attacco ransomware.
- Collaborazione con le autorità: Stabilire contatti con le autorità di cybersecurity locali e nazionali per una rapida segnalazione e assistenza in caso di attacco.
L’evoluzione delle tattiche degli hacker cinesi, che ora combinano spionaggio cibernetico con attacchi ransomware, rappresenta una minaccia significativa per organizzazioni di tutti i settori. La sofisticazione di strumenti come Shadowpad e l’uso di vulnerabilità zero-day evidenziano la necessità di un approccio proattivo e stratificato alla cybersecurity.
Le organizzazioni devono rimanere vigili, investire in soluzioni di sicurezza avanzate e adottare un approccio di “zero trust” per proteggere le proprie risorse critiche. La collaborazione tra settore privato, enti governativi e esperti di sicurezza sarà fondamentale per contrastare efficacemente queste minacce in continua evoluzione.
Ricordate: la sicurezza informatica è un processo continuo, non una destinazione. Mantenete alta la guardia, aggiornate costantemente le vostre difese e siate pronti a rispondere rapidamente agli incidenti. Solo attraverso una postura di sicurezza proattiva e adattiva possiamo sperare di tenere il passo con la crescente sofisticazione degli attori delle minacce statali.
Fonte: https://cybersecuritynews.com/chinese-hackers-exploiting-firewall-flaw-to-deploy-ransomware
