Campagna di spionaggio APT41 prende di mira l’Italia

Mandiant, in collaborazione con il Threat Analysis Group (TAG) di Google, ha pubblicato una ricerca che descrive una campagna di spionaggio prolungata condotta da APT41.

Il gruppo sponsorizzato APT41

APT41 è un gruppo cyber sponsorizzato dalla Cina, noto per spionaggio e crimini finanziari. In passato ha preso di mira l’industria dei videogiochi e settori come sanità e telecomunicazioni, usando bootkit e certificati digitali compromessi.

La catena d’attacco della campagna in oggetto

APT41 si sarebbe infiltrato mantendo un accesso non autorizzato alle reti delle vittime sin dal 2023, esfiltrando dati sensibili per lunghi periodi.

APT41 ha utilizzato una combinazione di web shell ANTSWORD e BLUEBEAM per scaricare il dropper DUSTPAN (scritto in C/C++) ed eseguire la backdoor BEACON per la persistenza e il movimento laterale.

Con l’avanzare dell’intrusione, il gruppo avrebbe successivamente intensificato l’attività distribuendo anche il dropper DUSTTRAP (un plugin framework multi stadio) che una volta eseguito avrebbe decifrato un payload dannoso per stabilire canali di comunicazione C2 con l’infrastruttura.

Inoltre, APT41 avrebbe sfruttato SQLULDR2 (utility scritta in C/C++) per esportare dati da database Oracle e utilizzato PINEGROVE (uploader scritto in Golang) per esfiltrare grandi volumi di dati sensibili dalle reti compromesse trasferendoli poi su OneDrive per successive elaborazioni.

Settori e nazioni target

Questo gruppo ha compromesso con successo diverse organizzazioni nei settori delle spedizioni, logistica, media, intrattenimento, tecnologia e automotive.

Le organizzazioni colpite si trovano principalmente in Italia, Spagna, Taiwan, Thailandia, Turchia e Regno Unito.

Raccomandazioni

Mandiant raccomanda alle organizzazioni di adottare un approccio di sicurezza completo e stratificato, mantenere aggiornati software e sistemi, utilizzare password forti e autenticazione a più fattori, e fare regolarmente il backup dei dati.

I team di sicurezza possono utilizzare l’allegato tecnico della ricerca per individuare eventuali attività di APT41 nei loro sistemi.

Su Salvatore Lombardo 335 Articoli
Ingegnere elettronico e socio Clusit, da qualche tempo, sposando il principio dell’educazione consapevole, scrive online per diversi magazine sull’Information Security. È inoltre autore del libro “La Gestione della Cyber Security nella Pubblica Amministrazione”. “Education improves Awareness” è il suo motto.