È stata rilevata una nuova campagna di spionaggio informatico condotta dall’APT cinese Sharp Panda che sta prendendo di mira progetti infrastrutturali strategici nelle organizzazioni del sud-est asiatico.
L’attribuzione a Sharp Panda di questa attività malevola è stata effettuata dai ricercatori di Check Point sulla base degli strumenti e dei TTPs (tecniche, tattiche e procedure) utilizzati dal gruppo criminale cinese.
Indice degli argomenti
L’evoluzione del cyber spionaggio col malware Soul
Gli attori criminali si sono dotati di una nuova versione del Soul Framework per attaccare il settore governativo del sud-est asiatico come parte della loro campagna di spionaggio informatico.
In questa maniera si segna un allontanamento dalle catene di attacco del gruppo identificate nel 2021. Da quel momento, i ricercatori hanno continuato a monitorare l’uso degli strumenti APT in diversi settori nei paesi del sud-est asiatico, in particolare in Vietnam, Tailandia e Indonesia.
L’uso della backdoor Soul negli attacchi reali è stato descritto per la prima volta da Symantec Broadcom nell’ottobre 2021 in collegamento con un’operazione di spionaggio non identificata mirata alla difesa, alla salute e alle TIC nel sud-est asiatico. L’origine dell’impianto, secondo uno studio pubblicato da Fortinet FortiGuard Labs a febbraio 2022 si riferisce al mese di ottobre 2017, quando il malware ha riproposto il codice del già noto Gh0st RAT e di altri strumenti pubblicamente disponibili.
La catena di attacchi descritta dal caso di studio preso in esame da Check Point inizia con un’e-mail di phishing contenente un documento esca Rich Text Format (RTF) utilizzando Royal Road per reimpostare il bootloader con una delle numerose vulnerabilità presente in Microsoft Equation Editor.
Il downloader, a sua volta, è progettato per estrarre SoulSearcher, da un server C2 (comando e controllo) geofenced, che risponde solo alle richieste provenienti da indirizzi IP corrispondenti ai paesi di destinazione. Questo implementa il download, la decrittazione e l’esecuzione della backdoor Soul e dei suoi altri componenti, che consente all’attaccante di raccogliere un’ampia gamma di informazioni.
Il modulo Soul principale è responsabile della comunicazione con il server C2 e il suo scopo principale è ricevere e caricare moduli aggiuntivi in un indirizzo di memoria specifico.
È interessante notare che la configurazione backdoor contiene una funzione di “silenziamento”, che include un meccanismo per interagire con il server C2 solo in determinate ore e date.
Gli strumenti malevoli in mano degli APT cinesi
I dati di questo studio, che i ricercatori sono riusciti a raccogliere, sono un’altra chiara indicazione dello scambio di strumenti tra gli APT cinesi per la raccolta di informazioni, come pratica sempre più comune.
In conclusione, si può così sintetizzare la catena di attacco di Sharp Panda qui descritta:
- Utilizza e-mail di spear-phishing per l’accesso iniziale, trasportando documenti dannosi con esche a tema governativo. Distribuisce inoltre il kit RoyalRoad RTF, consentendo agli aggressori di sfruttare le vulnerabilità precedenti per ulteriori infezioni.
- Una volta all’interno della rete di destinazione, scarica un modulo chiamato SoulSearcher loader, una parte del framework del malware Soul, che alla fine carica il modulo principale, la backdoor di Soul.
- Questa backdoor si connette con il server C2 e attende ulteriori istruzioni dall’attaccante sul caricamento di moduli aggiuntivi.
Sebbene il framework Soul sia in uso almeno dal 2017, gli attori delle minacce dietro di esso aggiornano e migliorano costantemente la sua architettura e le sue capacità. I ricercatori osservano che la campagna è probabilmente organizzata da APT, i cui altri strumenti, capacità e posizione nella più ampia rete di attività di spionaggio devono ancora essere esplorati.
