Aziende pubbliche e private italiane sono state vittime di attacchi mirati perpetrati dal collettivo di hacker legato a Pechino noto con il nome di APT17 che ha usato una variante del trojan RAT 9002.
L’azienda di sicurezza TG Soft, che ha rilevato gli attacchi, ha ricostruito che questi sono stati effettuati in due diverse occasioni, ossia il 24 giugno e il 2 luglio 2024.
RAT 9002 è un trojan modulare con funzionalità diskless, non necessita l’istallazione di file sul disco fisso ma può annidarsi nelle procedure di avvio dei dispositivi o in ambienti di esecuzione temporanei e, poiché non lascia tracce permanenti, è più difficile da rilevare.
Stringiamo il focus sul gruppo APT17, su RAT 9002, sulle modalità di infezione e sui rimedi possibili, grazie anche al parere dell’ingegnere Pierluigi Paganini, Ceo Cybhorus e membro Ad-Hoc Working Group on Cyber Threat Landscapes – ENISA (European Union Agency for Network and Information Security).
Indice degli argomenti
Chi è il gruppo APT 17 e quali intenzioni ha
Davide El, security researcher della società israeliana di sicurezza informatica CyberArk, ricostruisce così le tappe salienti che caratterizzano il collettivo.
“APT 17, noto anche come ‘DeputyDog’, è un gruppo di minacce sofisticato ed esperto, associato alla Cina, che si ritiene attivo dal 2013. In questi giorni sembra stia concentrando le sue azioni sull’ Italia, colpendo aziende ed enti governativi del territorio.
Il suo obiettivo principale sembra essere la raccolta di dati e informazioni, avendo preso di mira molte industrie e settori, soprattutto in aree strategiche come governo, difesa e telecomunicazioni.
Conosciuto sia per il suo approccio creativo sia per le elevata capacità tecniche, il gruppo ha spesso utilizzato exploit 0day nei propri strumenti. Il più noto e maturo è RAT 9002 (conosciuto anche come McRAT), aggiornato nel corso degli anni e utilizzato in attacchi significativi nel corso del tempo:
- Nel 2013, quando il gruppo ha utilizzato un Internet Explorer Zero Day, iniettando una variante di RAT 9002 diskless nella memoria del browser, con un approccio simile a quello recentemente riportato da TG Soft
- Nel 2018, durante una campagna denominata “Operation Red Signiture”, in cui il gruppo ha utilizzato un attacco alla catena di approvvigionamento per infettare aziende sudcoreane
- Recentemente, nel 2022, diversi rilevamenti suggeriscono come il gruppo abbia condiviso il proprio codice sorgente o apportato importanti modifiche al proprio tooling, poiché parti di RAT 9002 sono state scoperte in campioni di malware legati a nuovi attori delle minacce cinesi con il nome di Webworm (segnalato da Symantec) e Space Pirates (segnalato da Positive Technologies)”.
Il ritratto, nel suo insieme, disegna il collettivo APT 17 come dinamico, tenace e all’avanguardia.
Gli attacchi con RAT 9002
Le due ondate principali di attacchi risalgono, come detto sopra, al 24 giugno e al 2 luglio 2024. In entrambi i casi gli attaccanti hanno usato delle tecniche di spear phishing (una forma di phishing tarato sulle peculiarità e sugli interessi delle vittime) per indurre gli utenti a prelevare un pacchetto di installazione di tipo MSI (Microsoft Installer) per Skype for Business dalla risorsa web “meeting(.)equitaligaiustizia(.)it“.
Installando il pacchetto avviene anche l’installazione di RAT 9002 stabilendo una comunicazione con il server C2 (Comando e controllo) gestito dagli attaccanti.
Il trojan si presta alla cattura di schermate, al monitoraggio del traffico di rete, alla gestione dei processi e all’esecuzione di comandi da remoto, tutte attività delegate agli attaccanti all’insaputa delle vittime.
Queste minacce sono, di norma almeno, più facili da intercettare che da debellare. E questo è il nocciolo dell’intera faccenda.
Come rimediare
Rimane sempre attuale la necessità, per le aziende, di investire nella cyber security e quindi anche nella formazione dei dipendenti e dei collaboratori e, non di meno, nell’adozione di pratiche e procedure per la gestione delle vulnerabilità e dei loro effetti.
Come spiega l’ingegner Pierluigi Paganini, infatti: “La minaccia di cui ci stiamo occupando, sebbene sia moderatamente sofisticata e concepita per eludere i sistemi di difesa, viene diffusa mediante tecniche di ingegneria sociale non particolarmente complesse. Un utente attento e soprattutto formato sulle tattiche, tecniche e procedure utilizzate dai gruppi APT come quello dietro questa campagna, potrebbe senza dubbio evitare di caderne vittima.
È necessario dotare le aziende di più livelli di protezione, che includano sia soluzioni tecnologiche che programmi di awareness sulle minacce.
Rimediare dopo un’infezione di questo tipo potrebbe essere un processo non semplice e richiede inevitabilmente il coinvolgimento di professionisti specializzati in grado di eradicare questa minaccia e le altre che gli attaccanti potrebbero avere dispiegato nella struttura presa di mira”.
In conclusione, non ci si può riparare dietro al vecchio e scontato adagio secondo cui prevenire è meglio di curare. Il discorso è più ampio, embrionale e di conseguenza più fine: occorre formare le persone affinché abbiano una cultura che propenda alla prevenzione a prescindere dalla minaccia a cui i sistemi vengono esposti.
