Rilevamento dell’attacco Weaver Ant: gruppo collegato alla Cina prende di mira un fornitore di telecomunicazioni in Asia utilizzando più web shell, inclusa China Chopper
Indice:
APT i gruppi provenienti dalla Cina sono stati classificati tra le principali minacce informatiche globali insieme a Corea del Nord, Russia e Iran, mostrando capacità offensive accresciute e ponendo sfide significative al panorama della cybersicurezza. A seguito della recente rivelazione della Operazione AkaiRyū di MirrorFace (alias Earth Kasha), gli attaccanti con legami alla Cina stanno colpendo di nuovo. Questa volta, i ricercatori di sicurezza riportano della lunga operazione offensiva del gruppo Weaver Ant che ha passato anni nella rete di un fornitore di servizi di telecomunicazioni per cyber-spionaggio.
Rilevare gli Attacchi di Weaver Ant
In un contesto di crescenti tensioni geopolitiche, gli attori di minacce supportati da nazioni hanno intensificato le loro attività dannose, impiegando tecniche avanzate per raggiungere i loro obiettivi strategici. Il cyber spionaggio è diventato un focus primario, con operazioni sempre più mirate e coperte. Un recente esempio è l’operazione APT Weaver Ant, che ha utilizzato sofisticate tattiche di web shell per infiltrarsi in un importante fornitore di telecomunicazioni in Asia. Questo incidente evidenzia la crescente complessità e precisione delle minacce informatiche nel panorama geopolitico attuale.
Per superare le minacce emergenti e rimanere al passo con i potenziali attacchi di Weaver Ant, SOC Prime Platform offre un set di regole Sigma rilevanti che affrontano le TTP dell’attore di minaccia. Basta premere il pulsante Esplora Rilevamenti qui sotto e approfondire immediatamente un set dedicato di regole.
Le regole sono compatibili con soluzioni SIEM, EDR e Data Lake multiple e mappate su MITRE ATT&CK® per ottimizzare l’indagine sulle minacce. I rilevamenti sono inoltre arricchiti con ampi metadati, inclusi CTI link, cronologie degli attacchi, raccomandazioni di triage, e altro.
I professionisti della sicurezza alla ricerca di più contenuti di rilevamento che affrontano le TTP utilizzate dagli attori supportati da nazioni possono navigare nel Threat Detection Marketplace utilizzando il tag “APT” per esplorare una collezione più ampia di algoritmi di rilevamento e intelligence sulle minacce in tempo reale supportata da una suite completa di prodotti per l’ingegneria del rilevamento potenziata dall’AI, il threat hunting automatizzato e il rilevamento avanzato delle minacce.
Analisi dell’Attacco di Weaver Ant
Il gruppo di hacker collegato alla Cina tracciato da Sygnia come Weaver Ant è stato osservato mentre impiegava avanzate tattiche di web shell per colpire un importante fornitore di telecomunicazioni in Asia. Gli attaccanti hanno mostrato una notevole persistenza contro diversi tentativi di eradicazione, infiltrandosi nella rete per oltre quattro anni. Hanno usato una rete ORB non provvista per proxy il traffico e nascondere la loro infrastruttura, impiegando principalmente router CPE Zyxel compromessi di fornitori di telecomunicazioni del sud-est asiatico, che hanno permesso loro di spostarsi tra le telecomunicazioni.
Weaver Ant ha distribuito più payload, inclusi web shell di base come canali per payload più avanzati, come uno strumento di tunneling ricorsivo che ha facilitato il tunneling HTTP per accedere alle risorse interne. Quest’ultimo ha permesso agli hacker di navigare agevolmente in vari ambienti web e mantenere l’adattabilità operativa. Weaver Ant ha anche impiegato web shell per il movimento laterale. Ha adottato metodi di evasione della difesa per esfiltrare dati furtivamente senza rilevamento, come la cattura passiva del traffico di rete tramite mirroring delle porte. Piuttosto che applicare web shell indipendenti, Weaver Ant ha utilizzato una tecnica chiamata “web shell tunneling”, che instrada il traffico tra server attraverso diversi segmenti di rete, creando una rete C2 nascosta. Ogni shell agisce come un proxy, passando payload criptati per un’esplorazione più profonda della rete. Inoltre, Weaver Ant ha distribuito DLL trojanizzate per infettare i sistemi.
I ricercatori che indagano sulla violazione hanno scoperto diverse varianti del backdoor China Chopper insieme a una nuova web shell personalizzata chiamata “INMemory” che esegue i payload direttamente nella memoria dell’host. Gli avversari hanno ottenuto l’accesso alla rete distribuendo una iterazione della web shell China Chopper crittografata con AES, consentendo il controllo remoto dei server e aggirando le protezioni dei firewall.
China Chopper fornisce avanzate capacità offensive come la gestione dei file, l’esecuzione di comandi e l’esfiltrazione di dati. La sua dimensione compatta e natura furtiva lo rendono perfetto per mantenere l’accesso persistente, abilitare ulteriori sfruttamenti ed evitare il rilevamento da sistemi di sicurezza convenzionali. La sua versatilità e facilità d’uso lo hanno reso uno strumento popolare per condurre una varietà di attività dannose su sistemi compromessi. La seconda web shell chiamata “INMemory” opera decodificando una stringa Base64 GZippata codificata in un eseguibile portatile (PE) chiamato ‘eval.dll’, che poi esegue interamente in memoria per evitare il rilevamento.
Inoltre, Weaver Ant ha utilizzato condivisioni SMB e account di alto privilegio di lunga durata, spesso autenticati tramite hash NTLM, per muoversi lateralmente all’interno della rete. Nel corso di quattro anni, hanno raccolto file di configurazione, registri e credenziali per mappare l’ambiente e colpire i sistemi chiave. Il gruppo si è concentrato più sull’intelligence della rete e l’accesso continuo all’infrastruttura telecomunicazioni piuttosto che sul furto di dati utente, in linea con lo spionaggio sponsorizzato dallo stato.
L’aumentata sofisticazione degli attacchi di Weaver Ant e l’uso di tecniche avanzate di evasione del rilevamento richiedono un’ultra-rettività da parte dei difensori. Per minimizzare i rischi dell’attività altamente persistente di Weaver Ant, si raccomanda ai difensori di implementare controlli sul traffico della rete interna, abilitare la registrazione completa di IIS e PowerShell, applicare i principi del privilegio minimo e ruotare frequentemente le credenziali degli utenti. Le organizzazioni possono fare affidamento sulla suite completa di prodotti SOC Prime supportata dall’intelligenza artificiale e che fonde tecnologie all’avanguardia per ottimizzare il rischio della postura di cybersicurezza dell’organizzazione.
