APT cinese prende di mira i fornitori di 5G in tutto il mondo
Indice:
Il team di McAfee Advanced Threat Research (ATR) Strategic Intelligence ha scoperto un’operazione di cyber-spionaggio di lunga durata che prende di mira importanti fornitori di telecomunicazioni in tutto il mondo. Secondo i ricercatori di sicurezza, hacker sostenuti dalla nazione cinese hanno infiltrato malware nelle reti di diverse aziende di telecomunicazioni negli Stati Uniti, nell’UE e nel Sud-Est asiatico per eseguire attività di ricognizione e rubare informazioni segrete legate alla tecnologia 5G. La campagna dannosa è stata presumibilmente lanciata per conto del governo di Pechino in risposta al divieto della tecnologia cinese nell’ambito del rollout 5G nelle regioni bersaglio.
Panoramica dell’Operazione Dianxun
Un’analisi approfondita delle tattiche, tecniche e procedure (TTP) collega la campagna all’attore APT cinese noto come Mustang Panda o RedDelta. In precedenza, questo collettivo di hacker era stato avvistato mentre attaccava organizzazioni cattoliche, ONG mongole e think tank statunitensi. Tuttavia, nell’agosto 2020, il gruppo si è spostato su attività dannose relative all’Operazione Dianxun, prendendo di mira dozzine di aziende di telecomunicazioni per spiare le loro reti.
Il vettore iniziale di infezione è attualmente sconosciuto, tuttavia, gli esperti di McAfee suggeriscono che gli aggressori reindirizzano le vittime a un dominio di phishing che consegna software dannoso ai loro sistemi. In particolare, agli utenti viene richiesto di visitare un sito falso mascherato da pagina delle carriere della compagnia Huawei. Questa pagina inganna le vittime facendole scaricare una falsa applicazione Flash, che funge da loader e rilascia un’utilità DotNet sulla macchina prese di mira. L’utensile DotNet lavora per ottenere persistenza, eseguire ricognizione e caricare backdoor di seconda fase nella rete compromessa. L’analisi approfondita rivela che nella maggior parte dei casi DotNet consegna un kit di attacco Cobalt Strike sotto forma di un file gzip base64. Gli hacker cinesi sfruttano Cobalt Strike nelle ultime fasi dell’intrusione per muoversi lateralmente attraverso la rete compromessa e cercare dati preziosi associati alla tecnologia 5G.
Gli esperti di sicurezza notano che Huawei stessa non è per nulla collegata a questa operazione dannosa, essendo di fatto una vittima delle azioni nefaste. Inoltre, i ricercatori credono che la campagna sia ancora in corso poiché di recente hanno individuato attività dannose basate sugli stessi TTP.
Rilevamento degli attacchi dell’Operazione Dianxun
Per rilevare possibili attacchi associati all’Operazione Dianxun, il nostro abile sviluppatore di Threat Bounty Emir Erdogan ha rilasciato una regola Sigma dedicata alla comunità :Â
https://tdm.socprime.com/tdm/info/LQ0ejPlvFevz/0xgrRXgBhYIRj3KqhBZWÂ
La regola ha traduzioni per le seguenti piattaforme:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye Helix
EDR: Carbon Black, Microsoft Defender ATP
MITRE ATT&CK:Â
Tattiche: Esecuzione, Persistenza, Escalation dei privilegi
Tecniche: Task programmato (T1053)
Iscriviti al Threat Detection Marketplace, la prima piattaforma SaaS nel settore che aggrega oltre 100.000 regole di rilevamento e risposta facilmente convertibili in vari formati. Sei appassionato di creare il tuo contenuto di rilevamento e contribuire a iniziative globali di caccia alle minacce? Unisciti al nostro Programma Threat Bounty e ricevi una ricompensa per il tuo contributo!
