Mandiant, in collaborazione con il Threat Analysis Group (TAG) di Google, ha pubblicato una ricerca che descrive una campagna di spionaggio prolungata condotta da APT41.
Il gruppo sponsorizzato APT41
APT41 è un gruppo cyber sponsorizzato dalla Cina, noto per spionaggio e crimini finanziari. In passato ha preso di mira l’industria dei videogiochi e settori come sanità e telecomunicazioni, usando bootkit e certificati digitali compromessi.
La catena d’attacco della campagna in oggetto
APT41 si sarebbe infiltrato mantendo un accesso non autorizzato alle reti delle vittime sin dal 2023, esfiltrando dati sensibili per lunghi periodi.
APT41 ha utilizzato una combinazione di web shell ANTSWORD e BLUEBEAM per scaricare il dropper DUSTPAN (scritto in C/C++) ed eseguire la backdoor BEACON per la persistenza e il movimento laterale.
Con l’avanzare dell’intrusione, il gruppo avrebbe successivamente intensificato l’attività distribuendo anche il dropper DUSTTRAP (un plugin framework multi stadio) che una volta eseguito avrebbe decifrato un payload dannoso per stabilire canali di comunicazione C2 con l’infrastruttura.
Inoltre, APT41 avrebbe sfruttato SQLULDR2 (utility scritta in C/C++) per esportare dati da database Oracle e utilizzato PINEGROVE (uploader scritto in Golang) per esfiltrare grandi volumi di dati sensibili dalle reti compromesse trasferendoli poi su OneDrive per successive elaborazioni.
Settori e nazioni target
Questo gruppo ha compromesso con successo diverse organizzazioni nei settori delle spedizioni, logistica, media, intrattenimento, tecnologia e automotive.
Le organizzazioni colpite si trovano principalmente in Italia, Spagna, Taiwan, Thailandia, Turchia e Regno Unito.
Raccomandazioni
Mandiant raccomanda alle organizzazioni di adottare un approccio di sicurezza completo e stratificato, mantenere aggiornati software e sistemi, utilizzare password forti e autenticazione a più fattori, e fare regolarmente il backup dei dati.
I team di sicurezza possono utilizzare l’allegato tecnico della ricerca per individuare eventuali attività di APT41 nei loro sistemi.