Rilevazione degli Attacchi Billbug: Attori di Spionaggio Cinesi Prendono di Mira le Organizzazioni del Sud-Est Asiatico
Indice:
Il rapporto sulle attività APT di ESET per il secondo e terzo trimestre 2024 evidenzia che i gruppi affiliati alla Cina guidano le operazioni globali, APT con campagne mirate alla raccolta di intelligence che sono tra le minacce più comuni e persistenti. Il gruppo di spionaggio collegato alla Cina noto come Billbug è stato osservato violare più organizzazioni nel Sud-est asiatico attraverso diversi settori industriali da agosto 2024 a febbraio 2025 utilizzando nuovi strumenti personalizzati, come loader, malware per il furto di informazioni, e un’utilità reverse‑SSH.
Rileva gli Attacchi di Billbug da parte di Attori di Minacce Collegate alla Cina
Con le tensioni globali in aumento, gli attori delle minacce sponsorizzati dallo stato stanno diventando più attivi e sofisticati nei loro metodi. Il cyber spionaggio è passato in primo piano, con attacchi sempre più mirati e difficili da rilevare. Un recente esempio è una campagna del gruppo Billbug collegato alla Cina, che si è concentrata su organizzazioni in tutta l’Asia.
Per affrontare le minacce emergenti e anticipare potenziali attacchi di Billbug contro la vostra organizzazione, la SOC Prime Platform offre un set di regole Sigma pertinenti rivolte ai TTP degli attaccanti. Premi il pulsante Esplora Rilevamenti qui sotto per accedere immediatamente al set di regole dedicato.
Le regole sono compatibili con soluzioni SIEM, EDR e Data Lake multiple e mappate su MITRE ATT&CK® per semplificare l’indagine sulle minacce. I rilevamenti sono anche arricchiti con ampi metadati, inclusi CTI link, cronologie degli attacchi, raccomandazioni per il triage e altro ancora.
I professionisti della sicurezza che cercano più contenuti di rilevamento sui TTP utilizzati da attori sponsorizzati dalla nazione possono navigare nel Threat Detection Marketplace usando il tag “APT” per esplorare una più ampia collezione di algoritmi di rilevamento e intel sulle minacce in tempo reale supportati da una suite completa di prodotti per l’ingegneria del rilevamento potenziata dall’AI, la caccia automatizzata alle minacce e il rilevamento avanzato delle minacce.
Analisi degli Attacchi Billbug
Il gruppo sostenuto dalla Cina, tracciato come Billbug (aka Lotus Blossom, Lotus Panda, Bronze Elgin, Spring Dragon, o Thrip), ha condotto una serie di attacchi di cyber-spionaggio contro organizzazioni del Sud-est asiatico, infiltrando un ministero del governo, un’agenzia di controllo del traffico aereo, un fornitore di telecomunicazioni e un’impresa di costruzioni. Gli avversari hanno anche violato un’agenzia di stampa in un paese del Sud-est asiatico e un operatore di cargo aereo in un paese vicino, utilizzando una suite di strumenti personalizzati, inclusi loader, ladri di credenziali e un’utilità reverse‑SSH.
Billbug è attivo nell’arena delle minacce informatiche almeno dal 2009. In precedenza, Billbug è stato osservato utilizzare PsExec per distribuire Infostealer. Catchamas, portando alla scoperta di ulteriori intrusioni negli Stati Uniti e nel Sud-est asiatico nei settori della difesa, geografico e delle telecomunicazioni. Dal 2019, Billbug ha utilizzato backdoor personalizzate come Hannotog e Sagerunex insieme a shell persistenti in evoluzione per prendere di mira enti militari, dei media e dell’istruzione in tutta l’Asia. Le loro operazioni hanno colpito con successo enti statali, obiettivi manifatturieri, delle telecomunicazioni e dei media nelle Filippine, in Vietnam, Hong Kong e Taiwan. Nel 2022, il gruppo ha violato in modo significativo un’autorità di certificazione, sollevando preoccupazioni per il potenziale abuso di certificati digitali per attacchi furtivi.
Tra alcune delle intrusioni del gruppo, gli attaccanti hanno abusato di eseguibili legittimi di Trend Micro e Bitdefender per caricare lato DLL dannose. Sono state anche osservate varianti di log.dll e un altro modulo, sqlresourceloader.dll, anche caricate lato. La più recente ricerca di Symantec rivela che durante gli attacchi nel Sud-est asiatico, il gruppo ha utilizzato ChromeKatz e CredentialKatz per raccogliere credenziali e cookie di Chrome insieme a un listener reverse‑SSH personalizzato sulla porta 22. Inoltre, gli avversari hanno sfruttato lo strumento di tunneling pubblico Zrok P2P per esporre i servizi interni, e datechanger.exe per falsificare le date dei file e ostacolare l’analisi forense.
Un aumento delle attività di cyber-spionaggio collegate ad attori sostenuti dalla Cina continua a sollevare preoccupazioni nel panorama globale della cybersecurity. Il gruppo APT Billbug, attivo almeno dal 2009, ha intensificato le operazioni prendendo di mira settori critici in tutto il Sud-est asiatico, inclusi i governi, le telecomunicazioni, l’aviazione e i media. Sfruttando strumenti personalizzati, ladri di credenziali, ascoltatori reverse-SSH e malware caricato lato, il gruppo dimostra un focus costante su discrezione e persistenza. Ciò sottolinea l’urgente necessità per le organizzazioni di rafforzare le loro difese e rimanere al passo con le tattiche APT in evoluzione. Le organizzazioni possono fare affidamento su la suite completa di prodotti di SOC Prime, supportata dall’intelligenza artificiale e dall’integrazione di tecnologie all’avanguardia, per ottimizzare il rischio della postura di cybersecurity dell’organizzazione.
