APT10 supportato dalla Cina potenzia il gioco di spionaggio con una backdoor senza file personalizzata

Attore minaccioso di lingua cinese APT10 almeno da marzo, hanno scoperto i ricercatori.

I ricercatori di Kaspersky monitorano la famiglia di malware LodeInfo dal 2019, hanno affermato prima of due post sul blog  pubblicato lunedì che espone un’indagine in due parti sulla minaccia emergente. Il gruppo è dedito allo spionaggio, principalmente contro obiettivi giapponesi.

Tuttavia, poiché gli autori delle minacce aggiornano e modificano costantemente LodeInfo — in particolare con funzionalità anti-rilevamento e diversi vettori di infezione — è difficile rimanere al passo con il suo utilizzo e la sua distribuzione, hanno affermato i ricercatori.

"LodeInfo e i suoi metodi di infezione sono stati costantemente aggiornati e migliorati per diventare uno strumento di spionaggio informatico più sofisticato mentre prende di mira le organizzazioni in Giappone", hanno scritto i ricercatori in uno dei loro post. "Anche gli impianti LodeInfo e i moduli di caricamento venivano continuamente aggiornati per eludere i prodotti di sicurezza e complicare l'analisi manuale da parte dei ricercatori di sicurezza."

JPCERT/C ha nominato LodeInfo per la prima volta in un post sul blog nel febbraio 2020, quando, secondo Kaspersky, era il payload di una campagna di spear-phishing contro il Giappone. L'anno successivo, i ricercatori di Kaspersky anche condiviso nuove scoperte durante la conferenza HITCON 2021 che ha coperto le attività di LodeInfo dal 2019 al 2020. All'epoca attribuirono il malware ad APT10, noto anche come il gruppo “Cicala”. - con "elevata fiducia", hanno affermato i ricercatori.

Le ultime informazioni di Kaspersky su LodeInfo nella prima metà del rapporto si concentrano sull'identificazione delle versioni attuali del malware — in cui i ricercatori hanno rilevato le versioni v0.6.6 e v0.6.7 — e sui vari metodi di infezione monitorati tra marzo e settembre in uso contro obiettivi in Giappone. La seconda parte svela un'indagine sulle nuove versioni dello shellcode LodeInfo — tra cui v0.5.9, v0.6.2, v0.6.3 e v0.6.5 — identificate rispettivamente a marzo, aprile e giugno, hanno affermato i ricercatori.

Vari metodi di infezione

I ricercatori hanno delineato quattro diversi metodi di infezione che gli autori delle minacce utilizzano per ottenere la backdoor LodeInfo sui sistemi delle vittime.

Il primo, identificato a marzo e utilizzato in precedenti attacchi osservati da Kaspersky, è iniziato con un'e-mail di spear phishing che includeva un allegato dannoso che installava moduli di persistenza del malware, hanno detto i ricercatori. Questi moduli erano costituiti da un file EXE legittimo del software K7Security Suite utilizzato per Caricamento laterale della DLL, nonché un file DLL dannoso caricato tramite la tecnica di sideloading DLL.

Il file DLL dannoso include un caricatore per lo shellcode LodeInfo che contiene uno shellcode LodeInfo da 1 byte crittografato XOR identificato internamente dalla versione 0.5.9, hanno detto i ricercatori.

Un altro metodo di infezione utilizza un file di archivio autoestraente (SFX) in formato RAR che contiene tre file con comandi script autoestraenti. Quando un utente preso di mira esegue questo file SFX, l'archivio rilascia altri file e apre un file .docx contenente solo poche parole giapponesi come esca, hanno detto i ricercatori.

Mentre questo file esca viene mostrato all'utente, lo script di archivio esegue una DLL dannosa tramite il sideload della DLL che avvia un processo che alla fine distribuisce LodeInfo v0.6.3, hanno detto.

Un terzo vettore di infezione utilizza un altro file SFX, diffuso per la prima volta tramite una campagna di spear-phishing a giugno, che sfrutta il nome di un noto politico giapponese e utilizza script e file autoestraenti simili al vettore precedente. Questo metodo di infezione iniziale include anche un file aggiuntivo che decodifica lo shellcode per la backdoor LodeInfo v0.6.3, hanno detto i ricercatori.

"Il nome del file e il documento esca suggeriscono che l'obiettivo era il partito al potere giapponese o un'organizzazione correlata", hanno spiegato, aggiungendo di aver osservato un altro file SFX con un metodo e un carico utile simili il 4 luglio.

Il quarto vettore di infezione delineato dai ricercatori è stato osservato a giugno e sembra essere un metodo completamente nuovo aggiunto quest’anno dagli autori delle minacce. Questo vettore utilizza uno shellcode downloader senza file, soprannominato "DOWNIISSA" dai ricercatori, fornito da un file Microsoft Word protetto da password. Il file include un codice macro dannoso completamente diverso dai campioni di LodeInfo precedentemente esaminati, hanno affermato i ricercatori.

"A differenza degli esempi precedenti... in cui la macro VBA dannosa veniva utilizzata per eliminare diversi componenti della tecnica di sideloading DLL, in questo caso il codice macro dannoso inietta e carica uno shellcode incorporato direttamente nella memoria del processo WINWORD.exe", hanno spiegato. "Questo impianto non era presente nelle attività passate e lo shellcode è anche uno shellcode downloader multistadio scoperto di recente per LodeInfo v0.6.5."

Tattiche di evasione avanzate

I ricercatori di Kaspersky hanno anche delineato le varie tattiche di evasione avanzate visualizzate nelle nuove versioni dello shellcode del malware, dimostrando come gli autori delle minacce stanno evolvendo il malware per aumentare le probabilità di non essere scoperti, hanno affermato i ricercatori.

"Queste modifiche potrebbero servire come conferma che gli autori delle minacce tengono traccia delle pubblicazioni dei ricercatori sulla sicurezza e imparano come aggiornare i loro TTP [tattiche, tecniche e procedure] e migliorare il loro malware", hanno scritto.

Ad esempio, lo shellcode LodeInfo v0.5.6 dimostra diverse tecniche di evasione avanzate per alcuni prodotti di sicurezza, nonché tre nuovi comandi backdoor implementati dallo sviluppatore, hanno affermato i ricercatori.

Contiene anche una chiave hardcoded, NV4HDOeOVyL, utilizzata in seguito da un antiquato codice Vigeneree genera dati spazzatura casuali "probabilmente per eludere il rilevamento dei beaconing in base alla dimensione del pacchetto", hanno osservato.

Un altro shellcode, in LodeInfo v0.5.6, utilizza algoritmi crittografici rivisti e identificatori di comandi backdoor, offuscati con un'operazione XOR a 2 byte che era definita come valori hardcoded a 4 byte nei precedenti shellcode di LodeInfo, hanno detto i ricercatori.

"Abbiamo anche osservato l'attore implementare nuovi comandi backdoor come "comc", "autorun" e "config" in LodeInfo v0.5.6 e versioni successive", hanno spiegato. "Ventuno comandi backdoor, inclusi tre nuovi comandi, sono incorporati nella backdoor LodeInfo per controllare l'host vittima."

Altri shellcode LodeInfo, v0.6.2 e versioni successive in particolare, includono una curiosa funzione di identificazione geografica che cerca la locale "en_US" sul computer della vittima in una funzione ricorsiva e interrompe l'esecuzione se viene trovata quella locale, hanno detto i ricercatori, indicando che il gli autori delle minacce stanno evitando gli obiettivi statunitensi.

Un'altra modifica fondamentale dello shellcode LodeInfo osservata da Kaspersky è stata il supporto per l'architettura Intel a 64 bit, che espande il tipo di ambienti delle vittime che gli autori delle minacce possono prendere di mira.

Nel complesso, i TTP aggiornati e i miglioramenti in LodeInfo e nel relativo malware "indicano che l'aggressore è particolarmente concentrato nel rendere il rilevamento, l'analisi e l'indagine più difficili per i ricercatori di sicurezza", hanno scritto i ricercatori.

Kaspersky ha condiviso vari indicatori di compromissione nella seconda parte del suo post su LodeInfo. L'azienda sta incoraggiando altri ricercatori sulla sicurezza e la comunità in generale a collaborare per identificare LodeInfo e i relativi attacchi malware negli ambienti delle vittime per prevenire e mitigare ulteriori attacchi.