Rilevamento del Malware Merdoor: Lancefly APT Utilizza una Backdoor Invisibile in Attacchi di Lunga Durata Contro Organizzazioni nel Sud e Sudest Asiatico

[post-views]
Maggio 17, 2023 · 5 min di lettura
Rilevamento del Malware Merdoor: Lancefly APT Utilizza una Backdoor Invisibile in Attacchi di Lunga Durata Contro Organizzazioni nel Sud e Sudest Asiatico

Un nuovo collettivo di hacker, tracciato come Lacefly APT, è stato recentemente osservato mentre applicava un backdoor personalizzato Merdoor per attaccare organizzazioni nei settori governativo, delle telecomunicazioni e dell’aviazione nel Sud e nel Sud-Est asiatico. Secondo gli ultimi rapporti, queste intrusioni mirate indicano una campagna avversaria di lunga durata che sfrutta il campione di Merdoor, con le prime tracce risalenti al 2018.

Rilevamento del Backdoor Merdoor da Lancefly

Lancefly APT è un nuovo soggetto sulla scena che è riuscito a passare inosservato per anni, colpendo segretamente le organizzazioni con un backdoor personalizzato Merdoor. Per aiutare i difensori informatici a resistere proattivamente agli attacchi potenziali, la piattaforma Detection as Code di SOC Prime ha aggregato una regola Sigma rilevante per identificare il comportamento sospetto associato a Merdoor:

Comportamenti Sospetti del BackDoor MERDOOR Persistenza attraverso il Rilevamento della Cancellazione del Registro. [via Registry_Event]

Questa regola è stata sviluppata dal nostro acuto sviluppatore di Threat Bounty Phyo Paing Htun è compatibile con 21 piattaforme SIEM, EDR, XDR e BDP ed è mappato al framework MITRE ATT&CK v12 affrontando le tattiche di Evasione della Difesa con la tecnica Modifica Registro (T1112) come tecnica corrispondente.

I Cacciatori di Minacce e gli Ingegneri di Rilevamento che cercano modi per monetizzare le loro competenze professionali contribuendo a un domani più sicuro sono più che benvenuti a rafforzare le fila della difesa informatica collettiva unendosi al Threat Bounty Program. Invia le tue regole Sigma, falle verificare e pubblicare sul nostro Marketplace per il Rilevamento delle Minacce, e ricevi pagamenti ricorrenti per il tuo inestimabile contributo.

A causa della minaccia in costante crescita posta dai collettivi APT, i professionisti della sicurezza cercano una fonte affidabile di contenuti di rilevamento per identificare tempestivamente gli attacchi informatici associati. Premi il pulsante Esplora Rilevamenti qui sotto e approfondisci immediatamente la raccolta completa di regole Sigma per rilevare strumenti e tecniche di attacco associati ai gruppi APT. Tutti gli algoritmi di rilevamento sono accompagnati dai riferimenti ATT&CK corrispondenti, collegamenti di intelligence sulle minacce e altri metadati rilevanti.

Esplora Rilevamenti

Analisi del Backdoor Medoor

Secondo l’indagine dei Symantec Threat Labs, una campagna avversaria che è stata attiva nella scena maligna per mezzo decennio è emersa alla luce nel maggio 2023. In queste intrusione di lunga durata, un nuovo collettivo APT con il nome di Lacefly sfrutta un backdoor Merdoor recentemente scoperto che prende di mira le organizzazioni in diversi settori industriali in Asia. Gli esperti hanno scoperto che gli attori delle minacce hanno anche applicato Merdoor nel loro toolkit avversario già nel 2020 e nel 2021, il che indica alcune somiglianze con i più recenti attacchi informatici.

Secondo il rapporto, gli attori della minaccia Lancefly si concentrano in gran parte sull’attività di spionaggio informatico, cercando di raccogliere intelligenza dagli utenti compromessi. Il malware Merdoor applicato nelle campagne sofisticate è stato sotto i riflettori almeno dal 2018. Il malware è un archivio autoestraente in grado di installarsi come un servizio, eseguire la registrazione delle chiavi e utilizzare un ampio set di metodi per la comunicazione del server C2.

Nelle operazioni maligne precedenti, gli attori Lancefly hanno approfittato del vettore di attacco phishing, mentre nella campagna più recente, i vettori di attacco iniziali potrebbero essere SSH brute forcing o un server pubblico. Inoltre, negli attacchi più recenti, gli attori della minaccia hanno mostrato modelli di comportamento simili alle loro campagne precedenti, utilizzando un insieme di tecniche senza malware per scaricare le credenziali degli utenti sui sistemi mirati, come PowrShell e versioni mascherate di strumenti legittimi.

L’infezione comune di Merdoor inizia con l’iniezione del backdoor in uno dei processi legittimi (perfhost.exe or svchost.exe), seguita dalla sua connessione al server C2. Successivamente, gli aggressori eseguono l’esecuzione dei comandi per l’iniezione di processi o per scaricare la memoria LSASS, quest’ultima permettendo loro di rubare le credenziali degli utenti e di ottenere un accesso esteso alle reti mirate. Poi gli avversari potrebbero usare un gestore di archivi WinRAR mascherato prima dell’esfiltrazione dei dati. Inoltre, gli attori Lancefly sono stati visti utilizzare Blackloader e Prcloader, che sono legati al famigerato malware PlugX. Nella campagna più recente, il collettivo di hacker ha anche sfruttato una versione aggiornata del rootkit ZXShell, che è più avanzato delle sue precedenti iterazioni essendo più piccolo nelle dimensioni e adottando tecniche di evasione della rilevazione più sofisticate.

Gli attori della minaccia Lancefly potrebbero essere collegati al gruppo APT41 a causa del certificato comune del rootkit ZXShell; tuttavia, quest’ultimo, come altri attori delle minacce sostenuti dalla Cina, è noto per condividere certificati con altri avversari. Anche Lancefly potrebbe essere affiancato all’attività avversaria dei gruppi APT cinesi a causa dell’uso di PlugX e ShadowPad nelle loro campagne, che sono entrambi comunemente utilizzati nel toolkit avversario degli attori sostenuti dallo stato cinese. Tuttavia, non ci sono ancora abbastanza prove per collegare l’attività malevola di Lancefly a nessuno dei collettivi di hacker noti.

Con i crescenti volumi di attacchi distruttivi attribuiti ai collettivi di hacker sostenuti dalla nazione, compresi i gruppi APT cinesi che causano caos nell’arena delle minacce informatiche, i difensori informatici cercano modi per ottimizzare il loro atteggiamento di sicurezza informatica. Con SOC Prime, oltre 900 regole Sigma per strumenti e attacchi informatici correlati agli APT sono a portata di clic! Ottieni oltre 200 regole Sigma gratuitamente o ottieni l’intero stack di rilevamento con On Demand su my.socprime.com/pricing.

Indice dei Contenuti

Questo articolo è stato utile?

Metti mi piace e condividilo con i tuoi colleghi.
Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e ottenere valore immediato, prenota ora un incontro con gli esperti di SOC Prime.
Iscriviti gratis Prenota un incontro

Articoli correlati

Rilevamento dell’attacco Secret Blizzard: APT sostenuta dalla russia prende di mira le ambasciate straniere a Mosca con il malware ApolloShadow 5 min di lettura Ultime Minacce Rilevamento dell’attacco Secret Blizzard: APT sostenuta dalla russia prende di mira le ambasciate straniere a Mosca con il malware ApolloShadow by Daryna Olyniychuk Intelligenza Artificiale nella Cyber Threat Intelligence 17 min di lettura SIEM & EDR Intelligenza Artificiale nella Cyber Threat Intelligence by Veronika Telychko Rilevamento degli Attacchi di APT41: Hacker Cinesi Sfruttano Google Calendar e Distribuiscono Malware TOUGHPROGRESS Contro le Agenzie Governative 6 min di lettura Ultime Minacce Rilevamento degli Attacchi di APT41: Hacker Cinesi Sfruttano Google Calendar e Distribuiscono Malware TOUGHPROGRESS Contro le Agenzie Governative by Daryna Olyniychuk
Tutte le notizie