Operation RestyLink: Detecting APT Campaign Targeting Japan

Da aprile 2022 i ricercatori stanno osservando una serie di attacchi informatici mirati specificamente alle organizzazioni giapponesi. La campagna, denominata Operation RestyLink, si ritiene sia attiva almeno da marzo 2022, con attività malevole correlate risalenti a ottobre 2021. L’attribuzione esatta è attualmente poco chiara, ma la catena di attacco e la sua natura altamente mirata suggeriscono che un sofisticato ATP sia responsabile dell’operazione nefasta.

Rileva Operation RestyLink

Per identificare l’attività malevola associata ai metodi di persistenza dell’Operation RestyLink, scarica una regola Sigma fornita dal nostro appassionato sviluppatore Threat Bounty Osman Demir.

Persistenza sospetta di Operation RestyLink tramite scrittura di file Dot su avvio di applicazione Office [Presa di mira in Giappone] (tramite cmdline)

La suddetta regola Sigma può essere utilizzata in 23 ambienti SIEM, EDR e XDR ed è mappata al framework MITRE ATT&CK, affrontando le tattiche di Persistenza con la corrispondente tecnica di Avvio Applicazione Office (T1137).

Premi ilEsplora Rilevazioni pulsante per accedere all’intera lista di contenuti di rilevazione per attacchi APT attuali ed emergenti.

Esplora Rilevazioni

Catena di Attacco e Attribuzione

Secondo l’approfondita inquiry condotta dall’analista SOC Rintaro Koike, l’ultimo attacco RestyLink inizia con una email di phishing. Le email hanno URL malevoli inseriti nel corpo. Nel caso in cui la vittima venga indotta a cliccare il link, un archivio ZIP contenente il file LNK viene scaricato dal server dell’avversario. Se eseguito, il file LNK droppa un file DOT nella cartella di avvio di Microsoft utilizzando il comando di Windows. Contemporaneamente, un PDF esca viene mostrato sullo schermo, distraendo la vittima dai processi sospetti in background.

L’analisi di intrusioni simili notate ad aprile 2022 e in precedenza rivela che gli avversari seguono la stessa routine, ma utilizzano diversi tipi di file e metodi. Ad esempio, gli attori delle minacce hanno diffuso file ISO malevoli tramite phishing per rilasciare un file EXE con una DLL malevola nascosta al suo interno. La DLL si è rivelata essere un downloader Go confezionato con UPX che ha distribuito CobaltStrike Stranger sulla macchina infetta.

La stessa infrastruttura è stata utilizzata durante gli attacchi contro il Giappone tra gennaio-marzo 2022 e anche ottobre-novembre 2021. Gli esperti di sicurezza evidenziano la natura mirata degli attacchi e la loro sofisticazione che consente di concludere che dietro l’operazione ci potrebbero essere attori APT. L’attribuzione esatta è attualmente sconosciuta, ma con un basso livello di fiducia, i ricercatori indicano DarkHotel, Kimsuky, APT29, o TA416 come possibili operatori degli attacchi.

Sfrutta la potenza della collaborazione nella difesa informatica e aumenta la tua velocità di caccia alle minacce unendoti a SOC Prime’s Detection as Code platform. Scopri istantaneamente informazioni utilizzabili e rilevanti sulle minacce informatiche, accedi a regole Sigma dedicate e traduzioni in tempo reale per oltre 25 soluzioni SIEM, EDR e XDR, e automatizza le tue operazioni di caccia e rilevazione delle minacce per potenziare le tue capacità di difesa informatica.