Un recente rapporto sostiene che la vulnerabilità che colpisce Checkbox Survey, uno strumento ASP.NET per aggiungere funzionalità di sondaggio ai siti Web, è stata sfruttata da un gruppo di hacker sponsorizzato dal governo cinese in una campagna contro organizzazioni pubbliche e private negli Stati Uniti Il rapporto, preparato da la società di sicurezza Sygnia, non cita espressamente il governo cinese, pur rilevando che le tattiche e le procedure impiegate in questa campagna sono state precedentemente attribuite ad attori del colosso asiatico.
La vulnerabilità in questione è stata identificata come CVE-2021-27852 ed è descritta come un difetto di esecuzione del codice dovuto alla deserializzazione che ha un impatto sulla versione 6 del sondaggio checkbox. Il difetto può essere sfruttato in remoto da attori di minacce non autenticati. La versione 7 dello strumento è completamente sicura, anche se gli utenti dovrebbero considerare che le versioni precedenti non riceveranno aggiornamenti.
Checkbox Survey afferma che le sue soluzioni sono impiegate da aziende di tutto il mondo, comprese organizzazioni governative come la NASA, la NATO, le forze armate statunitensi, il Dipartimento di Stato e persino la Commissione di regolamentazione nucleare.
Come accennato all’inizio, Sygnia ha trovato molteplici collegamenti tra questa campagna e un attacco all’industria privata e alle organizzazioni governative in Australia rilevato nel 2020. All’inizio non c’erano sospetti sui responsabili dell’attacco, anche se le cose sono cambiate con le successive indagini.
Sygnia ha trovato somiglianze tra il malware utilizzato negli attacchi in Australia e questa recente campagna contro Checkbox Survey. Tuttavia, gli esperti affermano che l’incidente in Australia è stato di più vasta portata e consiste in altre tattiche e procedure.
I ricercatori hanno identificato gli aggressori come TG1021 o Praying Mantis, notando che si tratta di un gruppo con capacità avanzate e che impiega exploit di deserializzazione che prendono di mira i server Windows IIS vulnerabili. Il malware impiegato da questi hacker contiene strumenti personalizzati progettati specificamente per i server IIS, oltre a una backdoor e più moduli post-exploit per l’implementazione di più attività di hacking.
Gli esperti di Sygnia hanno descritto questo malware come uno “sviluppo volatile” che deve essere caricato nella memoria del dispositivo compromesso nel tentativo di rimuovere le sue tracce. La campagna di sfruttamento contro Checkbox Survey è ancora attiva, pertanto si consiglia agli utenti interessati di eseguire l’aggiornamento alla versione sicura di questo strumento per mitigare il rischio di sfruttamento.
