I ricercatori di sicurezza hanno scoperto una campagna dannosa di lunga data da parte di hacker associati al governo cinese che utilizzano VLC Media Player per avviare un caricatore di malware personalizzato.
La campagna sembra servire a scopi di spionaggio e ha preso di mira varie entità coinvolte in attività governative, legali e religiose, nonché organizzazioni non governative (ONG) in almeno tre continenti.
Questa attività è stata attribuita a un attore di minacce rintracciato come Cicada (alias menuPass, Stone Panda, Potassium, APT10, Red Apollo) attivo da più di 15 anni, almeno dal 2006.
Utilizzo di VLC per distribuire un caricatore di malware personalizzato
L’inizio dell’attuale campagna di Cicada è stato tracciato fino alla metà del 2021 ed era ancora attivo nel febbraio 2022. I ricercatori affermano che questa attività potrebbe continuare oggi.
Ci sono prove che alcuni accessi iniziali ad alcune delle reti violate avvenissero tramite un server Microsoft Exchange, indicando che l’attore ha sfruttato una vulnerabilità nota su macchine senza patch.
I ricercatori di Symantec, una divisione di Broadcom, hanno scoperto che dopo aver ottenuto l’accesso alla macchina di destinazione, l’attaccante ha distribuito un caricatore personalizzato su sistemi compromessi con l’aiuto del popolare lettore multimediale VLC.
Brigid O Gorman di Symantec Threat Hunter Team ha detto a BleepingComputer che l’attaccante utilizza una versione pulita di VLC con un file DLL dannoso nello stesso percorso delle funzioni di esportazione del lettore multimediale.
La tecnica è nota come caricamento laterale DLL ed è ampiamente utilizzata dagli attori delle minacce per caricare malware in processi legittimi per nascondere l’attività dannosa.
Oltre al caricatore personalizzato, che O Gorman ha affermato che Symantec non ha un nome ma è stato visto in precedenti attacchi attribuiti a Cicada/APT10, l’avversario ha anche implementato un server WinVNC per ottenere il controllo remoto sui sistemi delle vittime.
L’attaccante ha anche eseguito la backdoor Sodamaster su reti compromesse, uno strumento ritenuto utilizzato esclusivamente dal gruppo di minacce Cicada almeno dal 2020.
Sodamaster viene eseguito nella memoria di sistema (fileless) ed è attrezzato per eludere il rilevamento cercando nel registro indizi di un ambiente sandbox o ritardandone l’esecuzione.
Il malware può anche raccogliere dettagli sul sistema, cercare processi in esecuzione e scaricare ed eseguire vari payload dal server di comando e controllo.
Diverse altre utilità sono state osservate in questa campagna includono:
- Strumento di archiviazione RAR: aiuta a comprimere, crittografare o archiviare i file, probabilmente per l’esfiltrazione
- Rilevamento di sistema/rete: un modo per gli aggressori di conoscere i sistemi o i servizi connessi a una macchina infetta
- WMIExec – Strumento da riga di comando Microsoft che può essere utilizzato per eseguire comandi su computer remoti
- NBTScan – uno strumento open source che è stato osservato essere utilizzato dai gruppi APT per la ricognizione in una rete compromessa
Il tempo di permanenza degli aggressori sulle reti di alcune delle vittime scoperte è durato fino a nove mesi, osservano i ricercatori in un rapporto di oggi.
Un focus più ampio
Molte delle organizzazioni prese di mira in questa campagna sembrano essere legate al governo o ONG (coinvolte in attività educative o religiose), nonché aziende nei settori delle telecomunicazioni, legale e farmaceutico.
I ricercatori Symantec evidenziano l’ampia geografia di questa campagna Cicada, che conta vittime negli Stati Uniti, Canada, Hong Kong, Turchia, Israele, India, Montenegro e Italia.
Da notare, una sola vittima proviene dal Giappone, Paese che da molti anni è al centro del gruppo Cicada.
Rispetto al precedente targeting di questo gruppo, incentrato sulle società collegate al Giappone, le vittime di questa campagna indicano che l’attore della minaccia ha ampliato il proprio interesse.
Pur concentrandosi su società collegate al Giappone, Cicada ha preso di mira in passato i settori sanitario, difesa, aerospaziale, finanziario, marittimo, biotecnologico, energetico e governativo.
Almeno due membri del gruppo di minacce APT10 sono stati accusati negli Stati Uniti di attività di pirateria informatica per aiutare l’Ufficio per la sicurezza dello Stato di Tianjin del Ministero della Sicurezza di Stato cinese (MSS) a ottenere proprietà intellettuale e informazioni commerciali riservate da fornitori di servizi gestiti, agenzie governative statunitensi, e oltre 45 aziende tecnologiche.