Il gruppo di attacco informatico sponsorizzato dallo stato noto come Billbug è riuscito a compromettere un'autorità di certificazione digitale (CA) come parte di una vasta campagna di spionaggio che risale a marzo - uno sviluppo preoccupante nel playbook delle minacce persistenti avanzate (APT), avvertono i ricercatori.
I certificati digitali sono file utilizzati per firmare il software come valido e verificare l'identità di un dispositivo o utente per abilitare le connessioni crittografate. Pertanto, una compromissione della CA potrebbe portare a una legione di attacchi furtivi successivi.
"Il targeting di un'autorità di certificazione è notevole, poiché se gli aggressori fossero in grado di comprometterla con successo per accedere ai certificati, potrebbero potenzialmente usarli per firmare malware con un certificato valido e aiutarlo a evitare il rilevamento sulle macchine vittime", secondo una relazione questa settimana da Symantec. "Potrebbe anche utilizzare certificati compromessi per intercettare il traffico HTTPS."
"Questo è potenzialmente molto pericoloso", hanno osservato i ricercatori.
Un'ondata continua di compromessi informatici
Billbug (alias Lotus Blossom o Thrip) è un gruppo di spionaggio con sede in Cina che prende di mira principalmente le vittime nel sud-est asiatico. È noto per la caccia alla selvaggina grossa, ovvero per cercare i segreti custoditi da organizzazioni militari, enti governativi e fornitori di comunicazioni. A volte getta una rete più ampia, accennando a motivazioni più oscure: in un caso passato, si è infiltrato in un operatore aerospaziale per infettare i computer che monitorano e controllano i movimenti dei satelliti.
Nell'ultima serie di attività nefaste, l'APT ha colpito un pantheon di agenzie governative e di difesa in tutta l'Asia, in un caso infestando "un gran numero di macchine" su una rete governativa con il suo malware personalizzato.
"Questa campagna è stata in corso almeno da marzo 2022 a settembre 2022 ed è possibile che questa attività sia in corso", afferma Brigid O Gorman, analista senior dell'intelligence presso Symantec Threat Hunter Team. “Billbug è un gruppo di minaccia di lunga data che ha condotto diverse campagne nel corso degli anni. È possibile che questa attività possa estendersi ad altre organizzazioni o aree geografiche, sebbene Symantec non ne abbia alcuna prova al momento.
Un approccio familiare agli attacchi informatici
A questi obiettivi, così come alla CA, il vettore di accesso iniziale è stato lo sfruttamento di applicazioni vulnerabili rivolte al pubblico. Dopo aver acquisito la capacità di eseguire il codice, gli attori delle minacce continuano a installare le loro backdoor Hannotog o Sagerunex note e personalizzate prima di scavare più a fondo nelle reti.
Per le fasi successive della catena di uccisione, gli aggressori di Billbug ne usano più binari che vivono fuori terra (LoLBins), come AdFind, Certutil, NBTscan, Ping, Port Scanner, Route, Tracert, Winmail e WinRAR, secondo il rapporto di Symantec.
Questi strumenti legittimi possono essere abusati per vari usi doppelganger, come interrogare Active Directory per mappare una rete, comprimere file per l'esfiltrazione, scoprire percorsi tra endpoint, scansionare NetBIOS e porte e installare certificati radice del browser, per non parlare del download di malware aggiuntivo .
Le backdoor personalizzate combinate con strumenti a duplice uso sono un'impronta familiare, essendo state utilizzate dall'APT in passato. Ma la mancanza di preoccupazione per l'esposizione pubblica lo è par per il corso per il gruppo.
"È degno di nota il fatto che Billbug sembri non essere scoraggiato dalla possibilità che gli venga attribuita questa attività, riutilizzando strumenti che sono stati collegati al gruppo in passato", afferma Gorman.
Aggiunge: "Anche l'uso massiccio da parte del gruppo di vivere dei frutti della terra e di strumenti a duplice uso è degno di nota e sottolinea la necessità per le organizzazioni di disporre di prodotti di sicurezza in grado non solo di rilevare malware, ma anche di riconoscere anche se potenzialmente vengono utilizzati strumenti legittimi in modo sospetto o malizioso”.
Symantec ha notificato l'anonima CA in questione per informarla dell'attività, ma Gorman ha rifiutato di fornire ulteriori dettagli in merito alla sua risposta o agli sforzi correttivi.
Anche se finora non vi è alcuna indicazione che il gruppo sia stato in grado di compromettere i certificati digitali effettivi, il ricercatore consiglia: "Le aziende dovrebbero essere consapevoli del fatto che il malware potrebbe essere firmato con certificati validi se gli attori delle minacce sono in grado di ottenere l'accesso alle autorità di certificazione".
In generale, le organizzazioni dovrebbero adottare una strategia di difesa approfondita, utilizzando più tecnologie di rilevamento, protezione e rafforzamento per mitigare il rischio in ogni punto di una potenziale catena di attacco, afferma.
"Symantec consiglia inoltre di implementare un audit e un controllo adeguati dell'utilizzo degli account amministrativi", ha osservato Gorman. “Suggeriamo inoltre di creare profili di utilizzo per gli strumenti di amministrazione poiché molti di questi strumenti vengono utilizzati dagli aggressori per spostarsi lateralmente senza essere rilevati attraverso una rete. Su tutta la linea, l'autenticazione a più fattori (MFA) può aiutare a limitare l'utilità delle credenziali compromesse".
- blockchain
- portafogli di criptovaluta
- cryptoexchange
- sicurezza informatica
- i criminali informatici
- Cybersecurity
- Lettura oscura
- Dipartimento di Sicurezza Nazionale
- portafogli digitali
- firewall
- Kaspersky
- il malware
- Mcafee
- NextBLOC
- Platone
- platone ai
- Platone Data Intelligence
- Gioco di Platone
- PlatoneDati
- gioco di plato
- VPN
- sicurezza del sito Web
