Secondo una nuova ricerca di Symantec, gli aggressori sponsorizzati dallo stato cinese stanno conducendo un’importante campagna globale contro più obiettivi che sfruttano la vulnerabilità Zerologon.
Il gigante della sicurezza ha affermato che il gruppo Cicada (alias APT10, Cloud Hopper) sta prendendo di mira le società giapponesi e le loro filiali in 17 paesi con attacchi di furto di informazioni. I settori interessati includono automobilistico, farmaceutico, ingegneria e fornitori di servizi gestiti (MSP).
APT10 è ben noto ai ricercatori, essendo stato smascherato come l’entità dietro la famigerata campagna Cloud Hopper contro gli MSP globali nel 2017, all’epoca definita “una delle più grandi campagne di cyber-spionaggio globale mai sostenute”.
Si dice che l’attuale campagna sia in corso dall’ottobre 2019, con gli aggressori che hanno mantenuto la persistenza su alcune delle reti delle loro vittime per un anno, sebbene per altri gli attacchi siano durati solo pochi giorni.
Symantec è stata avvisata per la prima volta della campagna quando ha notato un’attività sospetta di caricamento laterale delle DLL su una delle reti dei suoi clienti. La tecnica è stata infatti utilizzata da APT10 durante più fasi degli attacchi per caricare malware in processi legittimi, afferma il rapporto.
Altre tecniche classiche utilizzate dal gruppo includono “vivere fuori dalla terra” tramite l’uso di funzioni Windows legittime come PowerShell, strumenti a doppio uso e disponibili pubblicamente come WMIExec e malware personalizzato come Backdoor.Hartip appena scoperto.
Il gruppo è stato anche osservato sfruttare il bug di elevazione dei privilegi di Zerologon corretto ad agosto, per dirottare in remoto un dominio e compromettere tutti i servizi di identità di Active Directory.
“La raccolta di informazioni e il furto di informazioni è stata generalmente la motivazione dietro gli attacchi di Cicada in passato, e questo sembra essere il caso anche in questa campagna di attacco. Abbiamo osservato che gli aggressori archiviano alcune cartelle di interesse in questi attacchi, comprese le cartelle di un’organizzazione relative a risorse umane, dati di audit e spese e promemoria sulle riunioni”, si osserva nel rapporto.
“L’utilizzo da parte del gruppo di tecniche come il caricamento laterale delle DLL e una vasta gamma di strumenti di living-off-the-land sottolinea la necessità per le organizzazioni di disporre di una soluzione di sicurezza completa per rilevare questo tipo di attività sospetta prima che attori come Cicada abbiano la possibilità di distribuire malware o rubare informazioni dalle loro reti”.
