Il gruppo di hacker cinesi “Unfading Sea Haze” ha violato reti militari e governative nel Sud della Cina per 6 anni, rimanendo nascosto e compiendo attività di spionaggio e furto di dati.
In questo articolo, esploreremo come funziona questo gruppo di hacker, come operano e come proteggere la tua organizzazione da simili attacchi.
Chi è “Unfading Sea Haze”?
“Unfading Sea Haze” è un gruppo di hacker sconosciuto che ha preso di mira reti militari e governative nel Sud della Cina dal 2018. Secondo i ricercatori di Bitdefender, il loro modus operandi è allineato con gli interessi geopolitici cinesi, concentrandosi sulla raccolta di informazioni e sullo spionaggio.
Come funziona “Unfading Sea Haze”?
Gli attacchi di “Unfading Sea Haze” iniziano con email di phishing mirate, contenenti archivi ZIP malevoli con file LNK mascherati da documenti. Gli ultimi esche usate riguardano temi politici statunitensi, mentre gli archivi ZIP sono camuffati da installatori/aggiornamenti di Windows Defender.
I file LNK contengono un lungo comando PowerShell crittografato che verifica la presenza di un eseguibile ESET, ekrn.exe. Se questo eseguibile è presente, l’attacco si interrompe. In caso contrario, il comando PowerShell esegue un’azione interessante per lanciare malware senza file direttamente in memoria, sfruttando il compilatore di linea di comando Microsoft msbuild.exe.
In questo attacco, i criminali avviano un nuovo processo MSBuild con una directory di lavoro remota su un server SMB (come \154.90.34.83\exchange\info nell’esempio sopra). MSBuild cerca quindi un file di progetto su quel server remoto e, se viene trovato, esegue il codice contenuto interamente in memoria, senza lasciare tracce sul dispositivo della vittima.
Il codice eseguito da MSBuild è un backdoor chiamato ‘SerialPktdoor’, che fornisce agli attaccanti il controllo remoto del sistema compromesso. L’attacco utilizza anche attività pianificate che eseguono file innocui per caricare DLL malevoli e manipolare account amministrativi locali per mantenere la persistenza.
L’arsenale di “Unfading Sea Haze”
Una volta stabilito l’accesso, “Unfading Sea Haze” utilizza una serie di strumenti per il furto di dati e lo spionaggio. Tra questi, un keylogger personalizzato chiamato ‘xkeylog’, uno strumento per il furto di dati che prende di mira i dati memorizzati nei browser Chrome, Firefox o Edge, e vari script PowerShell che estraggono informazioni dalla base di dati del browser.
A partire dal 2023, i criminali hanno iniziato a utilizzare strumenti più furtivi, come l’abuso di msbuild.exe per caricare payload C# da server SMB remoti e varianti del malware Gh0stRAT.
Come proteggersi da “Unfading Sea Haze”
Per proteggere la tua organizzazione da attacchi come quelli di “Unfading Sea Haze”, è necessario adottare una strategia di sicurezza multisfaccettata che includa:
- Patch management: Mantieni aggiornato il tuo software e sistema operativo per ridurre il rischio di vulnerabilità esploi
- MFA (Multi-Factor Authentication): Adotta l’autenticazione a più fattori per proteggere l’accesso alle tue reti e risorse
- Network segmentation: Dividi la tua rete in segmenti più piccoli per limitare la diffusione di malware e attacchi laterali
- Traffic monitoring: Monitora il traffico di rete per rilevare e rispondere a attività sospette
- Deployment of state-of-the-art detection and response products: Implementa soluzioni di rilevamento e risposta avanzate per identificare e contrastare attacchi sofisticati
Il gruppo di hacker “Unfading Sea Haze” ha dimostrato una notevole abilità nel nascondersi nelle reti militari e governative per 6 anni, compiendo attività di spionaggio e furto di dati. Per proteggere la tua organizzazione da attacchi simili, è fondamentale adottare una strategia di sicurezza multisfaccettata e mantenere alta la guardia sulla sicurezza informatica.
